Free Spirit, Libre Software

Je ne poste plus ...

Fabien Poulard — Friday, February 13 2009

J’ai plus ou moins arrêté de poster sur ce blog. Plusieurs raisons à cela :

Je n’ai jamais réellement commencé à poster sérieusement
Je tiens un autre blog plus "sérieux" où je commence à parler de tout et n’importe quoi ;)

En d’autres termes je pense que je vais tout rassembler dans le même blog : http://www.fabienpoulard.info/

XUbuntu + Sugar sous QEmu

Fabien Poulard — Saturday, November 8 2008

Ce billet décrit comment j’ai mis en place une démonstration de Sugar dans une machine virtuelle QEmu tournant sous XUbuntu. Pour le reste de ce billet, le terme machine hôte fera référence à la machine sur laquelle s’exécute QEmu et machine virtuelle la machine simulée par QEmu.

J’ai utilisé pour cette démonstration une Ubuntu Studio Hardy 64 bits comme machine hôte et une XUbuntu Hardy 32 bits comme machine virtuelle.

Installation de QEmu sous Ubuntu

QEmu étant empaqueté et disponible dans les dépôts Ubuntu, son installation se fait comme à l’habitude en utilisant apt-get ou aptitude, ou encore le gestionnaire graphique d’installation d’applications : Synaptic.

$ sudo aptitude install qemu

Afin de profiter de accélération matérielle, il est intéressant (pour les architectures i386 ou x84) d’installer le module noyau kqemu. La procédure d’installation est un peu plus complexe car il est nécessaire de compiler le module et de le charger en mémoire. La procédure est entièrement décrite sur le site d’Alter Ego. En voici un résumé rapide :

$ sudo aptitude install module-assistant kqemu-common kqemu-source
$ sudo module-assistant prepare
$ sudo module-assistant auto-install kqemu-source

Une fois le module compilé et installé, il ne reste plus qu’à le charger et en permettre l’accès à tous :

$ sudo modprobe kqemu
$ sudo chmod 666 /dev/kqemu

QEmu devrait désormais pouvoir tirer parti de l’accélération matérielle pour l’émulation du processeur. Si tout fonctionne correctement, la différence est notable.

Installation de XUbuntu sous QEmu

Pour installer XUbuntu sous QEmu il va nous falloir une image ISO de XUbuntu, ainsi qu’un disque virtuel. L’image ISO s’obtiend facilement sur le site officiel de la distribution. Pour ce qui est de la création du disque virtuel, nous allons utiliser l’utilitaire qemu-img plutôt que dd comme présenté dans le tutoriel d’Ubuntu

$ qemu-img create -f qcow ubuntuimage 5G

La commande ci-dessus permet ainsi de créer un disque virtuel de 5Go nommé ubuntuimage. Le format de disque choisi est qcow. Il s’agit du format de QEmu. Il permet notamment de limiter le gaspillage d’espace disque sur la machine hôte en ne requisitionnant que l’espace réellement utilisé dans le disque virtuel.

Une fois le disque virtuel créé, et l’image ISO téléchargée, il ne reste plus qu’à lancer QEmu en lui indiquant :

le disque virtuel à utiliser ;
de considérer l’image ISO comme cdrom ;
de démarrer à partir du cdrom ;
qu’il ne doit pas utiliser plus XMo de RAM (dans notre cas 128).

Encore une fois, toute la procédure, et notamment ce qui concerne l’utilisation de kqemu est décrit sur le site d’Alter Ego. Voici un résumé :

$ qemu-system-x86_64 -hda ubuntuimage -cdrom xubuntu-8.10-alternate-i386.iso -boot d -m 128 -kernel-kqemu

Le reste ne diffère en rien d’une installation standard de XUbuntu.

Installation de Sugar sous XUbuntu

L’installation de Sugar sous Ubuntu et son utilisation par défaut est très bien décrite sur le site d’OLPC. En résumé et pour ceux qui ne lisent pas l’anglais ou qu’ils veulent aller directement à l’essentiel, la démarche est la suivante.

Dans un premier temps, lancez votre XUbuntu, ouvrez un terminal et ajoutez le dépôt logicielles suivant au fichier /etc/apt/sources.list, et mettez à jour votre liste de logiciels disponibles à l’aide de aptitude update :

deb http://ppa.launchpad.net/sugarteam/ubuntu hardy main

La condition sinequanon à une bonne mise à jour est l’accès de la machine virtuelle à l’internet. Si vous êtes perdu sur ce point, n’hésitez pas à vous référer aux documentations présentes sur internet. Une fois la mise-à-jour des paquets disponibles effectuée, vous devriez pouvoir installer l’environnement éducatif du projet OLPC : http://wiki.laptop.org/go/Sugar/lang-fr :

$ sudo aptitude install sugar python-gobject

De nombreuses dépendances sont nécessaires à Sugar, l’installation peut donc demander un certain temps.

Une fois l’installation terminée, déconnectée de votre session et reconnectez-vous en ayant pris soin de sélectionner la session Sugar. Petit truc pratique, pour faire apparaître le cadre de l’environnement de travail, il suffit de déplacer le pointeur de souris dans un coin de l’écran. Vous trouverez une documentation permettant de découvrir Sugar sur le site d’OLPC.

Pour arrêter Sugar, il faut se placer dans la vue personnelle (le rond avec un seul point au centre dans le cadre), faire un clique-droit sur l’icône du bonhomme et choisir "Arrêter".

Démonstration

Voici quelques copies d’écran de Sugar tournant dans QEmu :

XUbuntu en école primaire : premier retour

Fabien Poulard — Saturday, November 8 2008

Comme j’en avais parlé dans un billet précédent, j’ai tenté de faire entrer GNU/Linux dans l’école primaire de ma commune. Pour résumer la situation, l’école primaire ne possède que deux ordinateurs, tous les deux obsolètes. Le seul ordinateur fonctionnel (900MHz et 128Mo de RAM) tournait sous Microsoft Windows XP avec certainement une version pirate. Visiblement sa lenteur ne permettait plus aux enseignants de l’utiliser et j’ai donc décidé d’y installer une XUbuntu.

À noter que n’étant pas sur ma commune la semaine (thèse sur Nantes oblige), j’ai laissé l’ordinateur sous XUbuntu, sans aucune explication et sans pouvoir en discuter avec qui que ce soit. J’ai rencontré un des enseignants, une semaine plus tard. La première bonne nouvelle c’est qu’en parallèle de mon intervention, un ami lui avait installé Ubuntu. Il avait donc déjà pris en main Synaptic et se lançait dans l’installation d’OpenOffice. Un autre enseignant avait testé le système d’exploitation fraîchement installé et avait laissé quelques notes.

Les principales remarques étaient les suivantes :

l’imprimante ne fonctionnait pas
il n’y avait pas OpenOffice
la traduction était approximative
les logiciels Windows n’étaient pas compatibles

J’ai installé l’imprimante en ajoutant simplement cupsys-driver-gutenprint et en utilisant system-config-printer. De plus j’ai résolu le problème de traduction incomplète en lançant gnome-language-selector et en choisissant le français.

En ce qui concerne OpenOffice, la machine est bien trop pauvre en mémoire vive pour le faire fonctionner convenablement. J’ai donc proposé d’installer Abiword. L’enseignant sceptique au départ a été convaincu lorsque j’ai ouvert des documents Word avec cette application dont le nom ne lui parlait pas.

En ce qui concerne les logiciels Windows non compatibles, je n’ai pas été en mesure d’apporter de solution. Wine ne peut pas fonctionner sur une machine aussi pauvre en mémoire vive et de toute façon nous n’avons pas de licence Windows à disposition. De plus, les logiciels incompatibles n’étaient pas nommés, je n’ai donc pas pu proposer d’alternatives libres.

Je n’ai pas eu de retour depuis (cela fait une semaine), j’espère que le système va les convaincre. Nous (les élus), les enseignants devons nous réunir avec l’inspecteur d’académie afin de traiter de l’équipement informatique des classes. J’espère avoir le temps d’ici là de préparer une démonstration de XUbuntu avec Sugar, l’interface éducative développé dans le cadre d’OLPC. J’en parlerai dans un prochain billet ...

Déploiement de Linux dans les écoles ... retour d'expérience

Fabien Poulard — Thursday, October 23 2008

En tant qu’informaticien, je ne peux que me réjouir de l’avènement du B2i. Cependant en tant que conseiller municipal, je ne peux que regretter le fait qu’une fois encore le gouvernement lance un projet et laisse les collectivités se débrouiller pour le mettre en place sans leur donner de moyen.

Pour information, l’intégralité du financement de l’environnement éducatif du primaire est à la charge des municipalités. En d’autres termes, l’entretient des bâtiments, l’achat de matériel et le salaire des ATSEM est payé par la municipalité.

Le lancement du B2i implique donc l’achat de matériel informatique assez performant pour pouvoir former les élèves et leur faire valider ce brevet. L’école primaire de ma commune possède déjà quelques ordinateurs pour les élèves. Cependant ces derniers sont assez vieux et les systèmes d’exploitation sont soit désués (Microsoft Windows 98), soit trop lourd pour les performances de la machine (Microsoft Windows XP). J’ai pris l’initiative de remplacer le Windows XP d’un de ces ordinateurs par une Xubuntu, système d’exploitation récent mais beaucoup plus léger. L’avenir nous dira si l’initiative entraînera un retour en arrière ou bien entraînera la migration complète du parc sous un environnement libre.

Tout ça pour marquer le travail effectué par Yves Gesnel, et couché sur son blog, concernant le déploiement volontariste d’Ubuntu dans un collège. Ce dernier se lance dans l’écriture d’un livre traitant de son retour d’expérience. Ce livre sera diffusé sous licence art libre.

Google Chrome ... bluffant ?

Fabien Poulard — Tuesday, September 2 2008

Google chrome fait son buzz ... le nouveau navigateur estampillé du G bleu fait son coming out ce soir sur le web. D’ici là tout le monde y va de son article. Une petite revue de presse et un résumé des faits les plus intéressants en attendant la sortie officielle ;)

Vous avez certainement entendu parler aujourd’hui de Google chrome, le navigateur de Google ? Si ce n’est pas le cas c’est que vous ne vous êtes certainement pas connecté à internet étant donné le nombre de sites qui y font référence, que ce soit dans la presse (VNunet, ZDNet, Challenges, 01net, Le Monde Informatique, SVM, PCInpact) ou bien sur la blogosphère (Tristan Nitot ou Christopher Blizzard ...).

La meilleure source d’information sur le sujet pour le moment est sans aucun celle provenant de Google eux-même, proposée sous la forme d’un web comic.

On y apprend que le navigateur sera multi-processus, en gros chaque traitement de chaque page sera placé dans un espace mémoire séparé des autres. Ça peut paraître techniquement imbuvable pour certains, mais celà signifie que l’application Flash que vous avez chargé sans le savoir dans un onglet en arrière plan ne fera plus planter tout le navigateur, juste l’onglet incriminé ... dans le pire des cas ! Tout simplement génial, on se demande pourquoi ça n’a pas été fait plutôt. Certainement car c’est techniquement assez complexe ...

On y apprend également que le moteur de rendu ne sera pas Gecko (le moteur de rendu développé et utilisé chez Mozilla), mais WebKit le moteur de Safari, dérivé de celui de Konqueror. Il s’agit d’un moteur qui a fait ses preuves et qui est aussi respectueux (sinon plus ?) des standards du web que Gecko ! C’est donc une bonne nouvelle...

Et finalement, mais ce n’est même pas étonnant, le navigateur est sous licence libre !

Sans trop nous émerveiller, on peut s’interroger sur comment la vie privé et l’anonymité sur le web sera gérée par ce navigateur conçu par le plus gros distributeur de contenu publicitaire sur le web ! La seule information que l’on ait est le mode incognito qui peut être chargé pour un onglet. Ce dernier a alors un accès en lecture-seule aux informations d’historique et aux favoris ... on reste un peu sur notre fin, notamment en ce qui concerne la gestion des cookies ou l’accès aux données d’historique et de favoris par les pages visitées.

Les réponses ce soir sans doute ...

OpenStreetMap, se lancer dans l'aventure sous OpenMoko

Fabien Poulard — Thursday, August 28 2008

OpenStreetMap est le projet communautaire de création de fonds de carte libre, chacun peut contribuer, et si vous possédez un OpenMoko c’est le moment de vous lancer. Voici un rapide guide histoire de sauter le pas !

Se connecter au NeoFreerunner

Pour se connecter au Neo Freerunner, la méthode la plus simple est d’y brancher le câble USB et de créer une interface réseau et de s’y connecter par ssh. Toute la procédure est décrite sur le wiki d’OpenMoko.

Installation des paquets

Après vous être connectés par ssh à l’appareil, installez les paquets openmoko-agpsui et tangogps. Le premier permet de visualiser la qualité de la connexion GPS, le second permet de visualiser la position GPS sur une carte :

root@om-gta02:~# opkg update
root@om-gta02:~# opkg install tangogps openmoko-agpsui

Une fois les paquets installées, deux nouvelles entrées doivent apparaître dans le menu : GPS & Map et Openmoko AGPS UI.

L’application Openmoko AGPS UI permet de s’assurer de la bonne connexion du module GPS aux satellites. L’application lancée, il est possible de placer le module GPS sous tension à l’aide du bouton Power on :

Une fois le module placé sous tension, l’onglet SS permet de visualiser la découverte des satellites. Lorsqu’un nombre suffisant de liens satellites de bonne qualité est atteint, la connexion se fixe et le module devient en mesure de récupérer les coordonnées GPS.

Enregistrement et récupération des traces

Lorsque le module GPS est fixé et capable de récupérer des coordonnées GPS, il suffit de lancer l’application GPS & Map, de se rendre sur l’onglet Track et de lancer la trace.

Par défaut toutes les traces sont enregistrées dasns /tmp, ceci peut-être modifié en cliquant sur Configure puis en spécifiant un nouveau chemin de sauvegarde.

Si vous voulez séparer les traces en plusieurs fichiers, il suffit de cliquer sur Split pour lancer l’enregistrement dans un nouveau fichier. Ceci peut-être utile pour différencier les rues tracées, les lieux, ...

Préparation des traces avec les outils OSM

Avant toute chose il vous faut récupérer les traces enregistrées. Pour ce faire, remettez en place la connexion ethernet par USB, puis récupérez les journaux grâce à scp :

monlaptopt$ scp root@192.168.0.202:"/tmp/*.log" .

Une fois les journaux de traces récupérées, il faut les convertir dans le format utilisé par les outils d’OpenStreetMap, ce qui se fait avec le script convert2osm.pl développé par les gens de tangogps.

monlaptopt$ ./convert2osm.pl 20080429_103552.log
20080429_103552.log.gpx
converting to osm...
20080429_103552.log.gpxcsv at ./convert2osm.pl line 180, <> line 63.

Désormais, il ne reste plus qu’à éditer nos traces à l’aide de JOSM le logiciel d’édition de traces d’OpenStreetMap. La dernière version stable de JOS est disponible ici.

Préparer l'environnement de remasterisation de DSL

Fabien Poulard — Saturday, September 8 2007

Cet article décrit les différentes étapes nécessaires à la mise en place de l’environnement de remasterisation : obtention de l’ISO, extraction et chroot.

À propos de DSL

DSL (Damn Small Linux) est une distribution légère tenant sur une business card et bootable depuis un cd, une clée usb, ... sur des ordinateurs d’un certain âge (486 avec 16Mo de ram).

DSL est basée sur l’excellente distribution Debian ce qui permet d’utiliser certains paquets développés pour cette distribution.

Obtention de l’image ISO

L’image ISO de la distribution s’obtient facilement à partir de la page dédiée. Lors de l’écriture de cet article, la version la plus récente était la 3.4.

Placez-vous dans un répertoire dédié car la manipulation va créer une arborescence propre :

shell$ mkdir DSLRemastering
shell$ cd DSLRemastering
shell$ wget ftp://ftp.oss.cc.gatech.edu/pub/linux/distributions/damnsmall/current/dsl-3.4.2.iso

Extraction des fichiers de l’image ISO

L’extraction des fichiers de l’image s’effectue en deux temps :

montage de l’image ;
copie des fichiers.

L’image se monte à l’aide d’une "loop" :

shell$ mkdir /tmp/iso
shell$ mount -t iso9660 -o loop dsl-3.4.2.iso /tmp/iso

On copie ensuite les fichiers en conservant les attributs de permission à l’aide de rsync. Il n’est pas nécessaire de copier le fichier KNOPPIX/KNOPPIX qui correspond au système de fichier compressé.

shell$ mkdir remaster-iso
shell$ rsync --exclude=/KNOPPIX/KNOPPIX -a /tmp/iso remaster-iso

Extraction du système de fichier

En réalité, seul le noyau est présent dans les fichiers que nous venons de copier. Le plus gros de la distribution se situe en réalité dans le fameux et imposant fichier KNOPPIX/KNOPPIX. Nous allons devoir mettre en place une cloop (compressed loop) pour le copier. Le module correspondant n’est pas forcément présent par défaut sur votre distribution, vous devrez peut être l’installer, ainsi que les utilitaires associés.

shell$ modprobe cloop
shell$ losetup /dev/cloop0 /tmp/iso/KNOPPIX/KNOPPIX
shell$ mkdir /tmp/fs
shell$ mount -t iso9660 /dev/cloop0 /tmp/fs

Une fois le système de fichier monté, vous pouvez le copier en préservant les informations sur les fichiers :

shell$ mkdir remaster-fs
shell$ cp -a /tmp/fs/* remaster-fs

Mise en place du chroot

Vous devriez maintenant vous trouver avec les répertoires suivants dans le répertoire courant :

remaster-iso contenant les fichiers issus de l’ISO
remaster-fs contenant la distribution à proprement parler.

Nous allons utiliser comme racine le répertoire remaster-fs afin d’y effectuer les manipulation de customisation. Cette manipulation est appelée chrooter et n’est possible qu’avec les droits du superutilisateur :

shell$ chroot remaster-fs
bash-2.05b# ls
bin     cdrom   etc     home    mnt     opt     root    tmp     var
boot    dev     floppy  lib     none    proc    sbin    usr

Si jamais vous obtenez le message d’erreur suivant :

Inconsistency detected by ld.so: rtld.c: 1108: dl_main: Assertion `(void *) ph->p_vaddr == _rtld_local._dl_sysinfo_dso' failed!

Vous devrez désactiver le VDSO, puis réitérer la manipulation. Pour désactiver le vDSO :

shell$ echo 0 > /proc/sys/vm/vdso_enabled

Indiquer à subversion des fichiers à ignorer lors du svn status

Fabien Poulard — Tuesday, July 24 2007

Lorsque l’on gère un dépôt subversion, il y a certains fichiers qui ne sont pas sous contrôle de version et qui peuvent apparaître au sein du répertoire. Ainsi, les fichiers intermédiaires de compilation, les exécutables, les core dump, ... peuvent s’inviter dans votre dépôt. Vous souhaitez que lors d’un {svn status} ces fichiers n’apparaissent plus ? C’est possible ...

Lorsque l’on travaille au sein d’un répertoire dont le contrôle de version est soumis à subversion, il est très fréquent qu’apparaissent des fichiers qui n’ont pas lieu d’être géré par le gestionnaire de contrôle de version et dont il n’est pas nécessaire d’indiquer les modifications ou même la présence lors d’un svn status.

Sous cvs, le fichier .cvsignore était utilisé pour gérer les exceptions à ne pas soumettre au contrôle de version. Subversion intègre un système plus souple qui se base sur la gestion des propriétés.

Subversion et les propriétés : propget, propset, proplist

Au sein d’un dépôt subversion, tous les fichiers, les dossiers ainsi que le dépôt en général ont des propriétés. Ces dernières peuvent être définies automatiquement (la propriété svn:executable par exemple) ou bien manuellement. Vous pouvez connaître les propriétés d’un fichier ou d’un dépôt à l’aide de la commande svn proplist :

shell:~/mon-depot$ svn proplist
Propriétés sur '.'
  license
  svn:ignore

Pour connaître la valeur d’une propriété, il suffit d’utiliser la commande svn propget suivie du nom de la propriété et du répertoire ou du fichier dont on veut connaître la propriété. Si aucun fichier n’est précisé, le répertoire courant est considéré.

shell:~/mon-depot$ svn propget license
GPLv2

La propriété svn:ignore

La propriété svn:ignore est celle qui nous intéresse. Elle permet de spécifier les motifs de fichiers à ignorer au sein d’un répertoire. La syntaxe permettant de spécifier cette propriété est la suivante : svn propset svn:ignore -F <fichier_des_motifs> <repertoire>.

Par exemple, dans le cadre d’un dépôt de fichiers en Python, il est inutile de conserver dans le dépôt les versions compilés des sources Python (*.pyc), on peut donc indiquer au gestionnaire de les ignorer :

shell:~/mon-depot$ cat > .svn/svnignore <<EOF
> *.pyc
> EOF
shell:~/mon-depot$ svn propset svn:ignore -F .svn/svnignore .
Propriété 'svn:ignore' définie sur '.'

Ou bien pour un dépôt de fichiers LaTeX, on peut ignorer tous les fichiers de compilation intermédiaires : les *.log, *.aux, *.bbl, *.blg, ... :

shell:~/mon-depot$ cat > .svn/svnignore <<EOF
> *.aux
> *.log
> *.bbl
> *.blg
> EOF
shell:~/mon-depot$ svn propset svn:ignore -F .svn/svnignore .
Propriété 'svn:ignore' définie sur '.'
shell:~/mon-depot$ svn proplist
Propriétés sur '.'
  svn:ignore
shell:~/mon-depot$ svn propget svn:ignore
*.aux
*.log
*.bbl
*.blg

ATTENTION! La propriété svn:ignore n’est pas appliquée de manière récursive, il est donc nécessaire de la spécifier manuellement pour chaque dossier dans lequel vous souhaitez qu’elle s’appliquer

shell:~/mon-depot$ svn status
 M     .
?      annexes/main.tex
?      annexes/Annexes.aux
M      annexes/Annexes.tex
?      notes_a-_integrer/unites_bloc_detection.aux
?      notes_a-_integrer/unites_bloc_detection.bbl
?      notes_a-_integrer/unites_bloc_detection.log
?      notes_a-_integrer/unites_bloc_detection.blg
?      notes_a-_integrer/unites_bloc_detection.pdf
M      Makefile
shell:~/mon-depot$ svn propset svn:ignore -F .svn/svnignore annexes/ notes_a-_integrer/
Propriété 'svn:ignore' définie sur 'annexes'
Propriété 'svn:ignore' définie sur 'notes_a-_integrer'
shell:~/mon-depot$  svn status
 M     .
?      annexes/main.tex
 M     annexes
M      annexes/Annexes.tex
?      notes_a-_integrer/unites_bloc_detection.pdf
 M     notes_a-_integrer
M      Makefile

Si toutefois vous avez un doute quant aux fichiers ignorés grâce à cette propriété, vous pouvez forcer svn à l’ignorer à l’aide de l’option --no-ignore :

shell:~/mon-depot$ svn status --no-ignore
 M     .
?      annexes/main.tex
I      annexes/Annexes.aux
I      annexes/Annexes.tex~
 M     annexes
M      annexes/Annexes.tex
I      notes_a-_integrer/unites_bloc_detection.aux
I      notes_a-_integrer/unites_bloc_detection.tex~
I      notes_a-_integrer/unites_bloc_detection.bbl
I      notes_a-_integrer/unites_bloc_detection.log
I      notes_a-_integrer/unites_bloc_detection.blg
?      notes_a-_integrer/unites_bloc_detection.pdf
 M     notes_a-_integrer
M      Makefile

Permettre une administration basique sans mot de passe

Fabien Poulard — Thursday, June 14 2007

J’ai fait le choix sur un système que j’ai installé de permettre aux utilisateurs de réaliser certaines tâches administratives basiques telles que la mise à jour du système ou l’installation de nouvelles applications. L’authorisation de ce genre de tâches passe par une simple configuration du système sudo

La difficulté lors de la mise en place d’un système que l’on veut robuste et sécurisé, mais également accessible et administrable sans connaissances particulières, est de trouver un compromis entre laxisme et sécurisation. Mon choix est de bloquer l’accès à toutes les tâches administratives, exceptées l’utilitaire de mise à jour du système (update-manager) ainsi que l’installation de nouvelles applications (gnome-app-install).

Fichier de configuration de sudo

Par défaut sous Xubuntu, l’accès à toutes les applications d’administration concernant le système sont inaccessibles aux utilisateurs de base. L’accès à ces applications passe par le biais du système sudo. Ce dernier est configuré par le biais du fichier /etc/sudoers que l’on édite via la commande visudo. Lancez donc cette commande à partir d’un compte ayant les droits d’administration.

Votre configuration se résume très certainement à un groupe %admin ayant tout les droits sur le système et ressemble à ceci :

# User alias specification

# Cmnd alias specification

# Defaults

Defaults        !lecture,tty_tickets,!fqdn

# User privilege specification
root    ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

Permettre l’accès à certaines commandes

Le système sudo permet l’utilisation d’alias, ce qui permet de regrouper des utilisateurs ou des commandes sous une dénomination commune et ainsi traiter les authorisations par lots. L’utilisateur par défaut du système pour la bibliothèque est biblio, il s’agit d’un compte qui est automatique connecté lors du démarrage de l’ordinateur. Bien qu’il ne soit pas vraiment nécessaire de créer un alias pour un seul utilisateur, je préfère prévenir l’apparition éventuelle d’autres utilisateurs. Le mot clé User_Alias permet la création d’un alias d’utilisateurs. Créons donc un alias d’utilisateurs que nous appelerons PUBLIC :

# User alias specification
User_Alias      PUBLIC=biblio

Les deux programmes auxquels nous permettons l’accès sont update-manager et gnome-app-install, créons un alias de commande à l’aide du mot clé Cmnd_Alias que nous appellerons BASIC_ADMIN. Il faut toutefois noter que gnome-app-install est un front-end pour synaptic, il est donc nécessaire d’ajouter également /usr/sbin/synaptic :

# Cmnd alias specification
Cmnd_Alias      BASIC_ADMIN=/usr/bin/gnome-app-install,/usr/bin/update-manager,/usr/sbin/synaptic

L’alias pour les utilisateurs et les commandes étant créé, nous n’avons plus qu’à relier le tout. Petite spécification, les utilisateurs ne doivent pas être embarassés d’un mot de passe, le mot clé NOPASSWD est là pour ça :

PUBLIC  ALL=NOPASSWD:BASIC_ADMIN

Cette ligne nécessite peut être d’être un petit peu décortiquée pour être comprise. Le premier mot (PUBLIC) correspond aux utilisateur concernés par la règle, s’ensuit les machines sur lesquelles s’applique cette règle. L’administration n’étant pas centralisé, un ALL (indiquant : toutes les machines) est suffisant. On s’attaque ensuite à la règle en permettant l’accès aux commandes BASIC_ADMIN sans avoir besoin de rentrer un mot de passe (NOPASSWD).

Le nouveau fichier de configuration ressemble désormais à ceci :

# User alias specification
User_Alias      PUBLIC=biblio

# Cmnd alias specification
Cmnd_Alias      BASIC_ADMIN=/usr/bin/gnome-app-install,/usr/bin/update-manager,/usr/sbin/synaptic

# Defaults

Defaults        !lecture,tty_tickets,!fqdn

# User privilege specification
root    ALL=(ALL) ALL
PUBLIC  ALL=NOPASSWD:BASIC_ADMIN

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

Cas spécifique des applications graphiques

Les applications graphiques posent un problème particulier, le système X ne permet pas à n’importe qui d’ouvrir des fenêtres sur le bureau d’un utilisateur. Le lancement d’une commande par le biais de sudo résultera très certainement en une erreur du système comme quoi il ne peut pas accéder au serveur :0. Pour ce faire nous allons permettre à n’importe qui d’ouvrir des fenêtre sur le bureau de l’utilisateur biblio en rajoutant xhost + dans le fichier $HOME/.xsession :

#! /bin/sh
xhost +

Enfin, l’utilisation de sudo nécessite l’ouverture d’un terminal, ce qui n’est pas forcément très pratique lorsque l’on veut lancer des applications graphiques. J’utilise pour ma part le petit utilitaire gksu qui permet d’éviter ces inconvénients et lancer directement les applications sans passer par un terminal.

Et notre utilisateur biblio peut désormais mettre à jour son système et installer des applications sans avoir à rentrer de mots de passe.

Réflexion sur la réalisation d'un Live CD Linux ludique pour les 3-7 ans

Fabien Poulard — Thursday, June 14 2007

Linux s’impose un petit peu partout : sur les serveurs, les bureaux, à l’école, au bureau, .... il reste cependant des besoins - oserais-je dire des "marchés" - pour lesquels il y a encore du travail. Les crêches en sont un bon exemple. Les éducateurs proposent de plus en plus tôt aux enfants de s’essayer à l’informatique, le but étant de rendre ces derniers les plus indépendants possibles face à l’ordinateur. Malheureusement, pour ce qui est des petits (3 à 5 ans), il n’existe pas véritablement d’environnements protégés dans lesquels les éducateurs comme les parents peuvent laisser gambader les petits !

L’existant ...

Le web fourmille bien de sites ou de pages à caractère ludique tels que :

Le défaut de ces solutions c’est que l’enfant se trouve sur internet et est donc exposé aux méfaits potentiels de ce dernier si l’ordinateur familial n’est pas protégé. De plus l’environnement (plugin flash, navigateur web, système d’exploitation) peut à tout moment venir perturber le jeux sous le coup d’une mauvaise manipulation de l’enfant et risque ainsi de le bloquer, voire de le décourager.

A ces problèmes techniques ajoutons également le fait que la plupart des sites ludiques nécessitent rapidement un abonement pour devenir intéressants ou bien se voient envahis par des contenus commerciaux animés qui peuvent déstabiliser (lobotomiser ?) ce dernier.

Le besoin ....

L’idée est donc de développer un système d’exploitation complet qui sera dédié à cette tranche d’âge tel que l’enfant n’y soit pas perdu quelque soit la situation. Ce système doit posséder les caractéristiques suivantes :

être assez simple pour qu’un enfant de 3 ans puisse le manipuler sans l’aide de ses parents, de l’allumage de l’ordinateur à l’extinction ;
donner accès à une multitude d’activités ludiques ou éducatives dans la langue maternelle de l’enfant ;
être évolutif et permettre aux parents de sélectionner les activités à proposer à l’enfant ;
utiliser massivement les formes, les couleurs et les sons pour tout ce qui concerne la navigation ;
permettre un traitement personnalisé dans le cadre d’une utilisation par plusieurs enfants ;
le tout entièrement basé sur des logiciels et du contenu "libre" (au sens des 4 libertés fondamentales)

Plusieurs développements peuvent être intégrés à ce système, on peut notamment citer :

Et pour ce qui est des frameworks de développement :

Idées ...

De mon point de vue, il faut conserver l’idée d’"environnement de bureau" tels que l’ont les adultes, mais l’adapter. De cette manière, l’enfant pourra plus facilement migrer vers le modèle plus traditionnel d’ordinateur et de système d’exploitation en grandissant. Il faut cependant guider l’enfant dans ses jeux, pour ce faire, une mascotte est la bienvenue. Elle accompagne l’enfant dans le choix de ses jeux, lors du jeux et le félicite ou l’encourage selon la réussite de ce dernier.

Les jeux se lancent comme des applications traditionnelles, mais ne doivent pas pouvoir occuper tout l’écran afin de toujours conserver des repères qui permettront à l’enfant de retrouver ses marques à tout moment. Ces jeux doivent également s’intégrer à l’environnement par le biais d’une charte graphique ainsi qu’une traduction dans la langue maternelle de l’enfant.

Des niveaux de difficultés doivent être proposés en fonction de la réussite de l’enfant sur les jeux précédents en prenant en compte les capacités de l’enfant (ex : capacité à reconnaître les couleurs, les sons, les images, ....). Le système évolue ainsi en même temps que l’enfant progresse ... de manière transparent. Bien sûr, la progression est limitée, mais elle doit tout de même être sensible. Ce suivi peut par exemple être réalisée par la mascotte accompagnatrice. Le système DBUS semble totalement adapté à cette communication entre la mascotte, le système, les jeux ...

L’idée est lancée ... un groupe de personnes sur Nantes semble paré à tenter l’aventure ... voyons si comme à son habitude la communauté du libre va être capable de répondre rapidement et avec qualité à la demande.

Mise en place d'un dépôt subversion local

Fabien Poulard — Saturday, May 26 2007

Subversion est gestionnaire de versions de fichiers extrêmement pratique pour gérer les modifications sur les fichiers sources d’un projet.

Nous allons décrire ci-dessous les méthodes permettant de mettre en place un dépôt local subversion afin d’utiliser subversion pour gérer les fichiers d’un projet.

Installation des utilitaires nécessaires

Pour la mise en place d’un dépôt local, seul le paquet {subversion} est nécessaire. Suivant le gestionnaire de paquet de votre distribution, lancez son processus d’installation. Pour Debian :

apt-get install subversion

Pour Ubuntu, utilisez l’application graphique d’ajout/suppression, sélectionnez le paquet subversion pour installation et appliquez les changements.

Préparation des fichiers pour lesquels le dépôt est créé

Subversion laisse libre la hiérarchie du dépôt, cependant, comme le préconise le livre officiel, il est préférable de placer à la racine du dépôt les trois dossiers :

trunk (contenant la version courante)
tags (répertoriant les différents tags)
branches (répertoriant les différentes branches de développement)

Ne vous formalisez pas trop sur l’utilisation de ces dits répertoires, vous découvrirez leur utilité au fur et à mesure de votre utilisation. Pour le moment, concentrons-nous sur la création de cette hiérarchie :

shell$ mkdir /tmp/depot_a_importer
shell$ cd /tmp/depot_a_importer
shell$ mkdir trunk tags branches

Et plaçons le contenu que l’on a déjà dans le répertoire trunk. En effet, c’est ce répertoire qui est le plus utilisé, il contiendra la version courante du dépôt.

shell$ tar -xzvf mes_fichiers_sources.tar.gz -C /tmp/depot_a_importer/trunk

Si vos sources ne sont pas présentes dans une archive, copiez les directement dans le répertoire trunk.

Création du dépôt

La gestion des dépôts se fait par le biais de l’utilitaire svnadmin. Si par hasard ce dernier n’est pas installé en même temps que svn, regardez si votre distribution n’offre pas un paquet svn-utils ou quelque chose d’équivalent.

Placez-vous à l’endroit où vous souhaitez placer votre dépôt svn. Sachez toutefois que vous ne manipulerez jamais le dépôt, mais seulement le checkout de ce dernier qui sera placé à un autre emplacement. Placer un répertoire svn-depot à la racine du système de fichier est une solution acceptable. Le répertoire /var/db est également un emplacement possible.

Nous allons créer le dépôt dans un répertoire spécifique sous le répertoire /home, mais pas dans notre répertoire home :

shell$ mkdir -p /home/www-data/subversion
shell$ cd /home/www-data/subversion
shell$ svnadmin create mon_depot

Vous devriez maintenant voir apparaître un dossier nommé mon_depot dans ce répertoire avec en son sein tout un tas de choses :

shell$ ls mon_depot
conf  dav  db  format  hooks  locks  README.txt

Voilà, le dépôt est créé, importons-y maintenant les fichiers que nous avons préparé dans le répertoire /tmp :

shell$ svn import /tmp/depot_a_importer file:///home/www-data/subversion/mon_depot/mon_projet -m "First Import"

Un dépôt peut gérer plusieurs projets, nous ajoutons ici au dépôt les fichiers que nous plaçons dans un nouveau projet que nous appelons mon_projet.

Vous pouvez lister les projets contenus dans un dépôt :

shell$ svn list file:///home/www-data/subversion/mon_depot/
mon_projet/

Récupérer les fichiers du dépôt

Maintenant que nos fichiers sont gérés en amont dans le dépôt, nous pouvons en récupérer une copie de travail. En effet, si vous regardez dans le répertoire du dépôt, vous vous appercevrez qu’il n’y a aucun fichier qui ressemble à ce que nous y avons importé.

Pour récupérer la dernière version des fichiers dans un répertoire :

shell$ svn checkout file:///home/www-data/subversion/mon_depot/mon_projet/trunk ~/fichiers-du-projet
Révision 1 extraite.

Placez vous maintenant dans le répertoire ~/fichiers-du-projet, vous y retrouvez tout vos fichiers...

Adaptateur USB - Série

Fabien Poulard — Saturday, May 26 2007

Si vous aimez bidouillez un tant soit peu d’électronique pilotée par informatique, vous êtes certainement frustrés de ne plus voir de ports séries sur les nouveau PCs et notamment les PCs portables.

La solution existe cependant : les convertisseurs USB - Série

Etant donné que je voulais pouvoir faire des choses amusantes avec les routeurs de type Linksys WRT avec Nantes-Wireless (de ce style notamment), il me fallait un moyen de me procurer un port série. J’avais certes des ports séries sur mes machines de bureau, mais j’effectue la plupart de mon travail de développement avec mon portable.

Achat d’un convertisseur USB - Série

Si les ports séries ont disparus des listes des interfaces en standard sur les PCs portables, les ports USB eux ont litérallement trouvés leur place. Il est en effet impossible de ne pas passer à côté d’une paire de ports USB lors de l’achat d’une nouvelle machine.

L’USB, comme son nom l’indique (Universal Serial Bus : Ports Série Universel) est également un port série. Il sont certes beaucoup plus évolués que les ports séries d’origine, mais le principe reste le même. Il est donc ainsi possible de transformer un port USB en un port série classique.

J’ai porté mon dévolu sur le convertisseur série 1 port en vente sur matériel.net. Il est basé sur le chipset Prolific Technology Inc. très bien reconnu par Linux sous le nom PL2303.

Compilation du module pour Linux

Ce genre de périphérique est assez rarement supporté par défaut dans les distributions, il va donc être nécessaire de compiler le module à partir des sources du noyau. Je considère que vous êtes capable de récupérer les sources du noyau pour votre distribution et de les placer dans le répertoire : /usr/src/linux.

Placez-vous dans ce répertoire et ajoutez les lignes :

CONFIG_USB_SERIAL=m
CONFIG_USB_SERIAL_GENERIC=y
CONFIG_USB_SERIAL_PL2303=m

au fichier .config afin d’activer le support du convertisseur.

Lancez alors la compilation des modules, suivi de leur installation :

shell# make modules
   CHK     include/linux/version.h
   HOSTLD  scripts/kconfig/conf
   SPLIT   include/linux/autoconf.h -> include/config/*
   Building modules, stage 2.
   MODPOST
   CC [M]  drivers/usb/serial/usbserial.o
   CC [M]  drivers/usb/serial/pl2303.o
   LD [M]  drivers/usb/serial/usbserial.ko
shell# make modules_install
   INSTALL drivers/usb/serial/pl2303.ko
   INSTALL drivers/usb/serial/safe_serial.ko
   INSTALL drivers/usb/serial/usbserial.ko

Chargement du module

Maintenant que le module est compilé et installé, vous pouvez le charger à l’aide de la commande :

shell# modprobe pl2303

Vérifiez qu’il est bien reconnu comme chargé :

shell# lsmod
 Module                  Size  Used by
 pl2303                 16068  0
 usbserial              25064  1 pl2303

Branchez maintenant votre convertisseur, puis faites :

shell# dmesg
 hub 3-0:1.0: debounce: port 1: total 100ms stable 100ms status 0x101
 usb 3-1: new full speed USB device using uhci_hcd and address 3
 usb 3-1: default language 0x0409
 usb 3-1: new device strings: Mfr=1, Product=2, SerialNumber=0
 usb 3-1: Product: USB-Serial Controller
 usb 3-1: Manufacturer: Prolific Technology Inc.
 usb 3-1: uevent
 usb 3-1: device is bus-powered
 usb 3-1: configuration #1 chosen from 1 choice
 usb 3-1: adding 3-1:1.0 (config #1, interface 0)
 usb 3-1:1.0: uevent
 usbserial_generic 3-1:1.0: usb_probe_interface
 usbserial_generic 3-1:1.0: usb_probe_interface - got id
 pl2303 3-1:1.0: usb_probe_interface
 pl2303 3-1:1.0: usb_probe_interface - got id
 pl2303 3-1:1.0: pl2303 converter detected
 usb 3-1: pl2303 converter now attached to ttyUSB0
 drivers/usb/core/inode.c: creating file '003'
 hub 3-0:1.0: state 7 ports 2 chg 0000 evt 0002

Si tout s’est bien passé, le périphérique est reconnu par les drivers et il est accessible par le biais d’un fichier {dev} ; ici : {/dev/ttyUSB0}.

Connexion à /dev/ttyUSB0

L’avantage d’un port série c’est qu’il est maintenant possible de se connecter à un terminal (par exemple à celui du WRT ;) ). Pour ce faire, il faut utiliser la commande {stty} (pour Serial TTY) :

 shell# stty -F /dev/ttyUSB0

Il se peut que vous n’ayez pas les droits d’accéder au fichier spécial /dev/ttyUSB0. Placez alors les permissions sur ce fichier comme ça vous arrange. Il se peut également que vous pouissiez vous ajouter au groupe tty présent sur plusieurs distributions.

Bouton "Imprimer" désactivé sous Ubuntu (Gnome)

Fabien Poulard — Monday, May 14 2007

Vous venez de passer à Feisty et vous vous rendez compte que le bouton "Imrpimer" ne s’active plus lorsque vous voulez imprimer alors que votre imprimante est détectée et prête ?

Quelque soit le programme GTK, le bouton "Imprimer" reste désespérement grisé alors que toutes vos imprimantes semblent correctement installées et prêtes à imprimer. Ceci est un bug connu de Gnome qui nécessite une petite manipulation pour être "corrigé" en attendant une prochaine version.

En réalité, le système d’impression vérifie l’existence d’un fichier ppd dans /etc/cups/ppd/ et si il ne le trouve pas, il met l’imprimante en erreur.

La solution simple en attendant de voir le bug corrigé est de créer un fichier vide correspondant à chaque imprimante qui n’en possède pas. Ceci se réalise en deux étapes :

Premièrement,’ récupérer l’identifiant de l’imprimante à l’aide de la commande lpstat -v :

shell# lpstat -v
périphérique pour Laser_1erHP : http://servimp:631/printers/laser_1erhp
périphérique pour Laser_2ndHP : http://servimp:631/printers/laser_2ndhp
périphérique pour Laser_rdc-HP : http://servimp:631/printers/laser_rdc
périphérique pour sharp_2nd : ipp://172.16.9.59:631/printers/sharp_2nd
périphérique pour sharpcouleur : ipp://172.16.9.59:631/printers/sharpcouleur

Dans le résultat ci-dessus, nous avons donc 5 imprimantes identifiées dans l’ordre par :

Laser_1erHP
Laser_2ndHP
Laser_rdc-HP
sharp_2nd
sharpcouleur

Deuxièmement, créer un fichier correspondant au nom de l’imprimante suivi avec une extension ppd dans le répertoire /etc/cups/ppd/. Par exemple :

shell# sudo touch /etc/cups/ppd/Laser_1erHP.ppd

Si vous avez plusieurs imprimantes, et que vous n’avez pas envie de les recréer à la main, voici un petit code shell qui le fera pour vous :

for print in $(lpstat -v | cut -d' ' -f3); do
   if [ ! -f /etc/cups/ppd/$print.ppd ]; then 
       sudo touch /etc/cups/ppd/$print.ppd
   fi
done

Et voilà ... vous devriez maintenant de nouveau pouvoir imprimer depuis ces imprimantes.

Installation d'un serveur de mail sous Debian

Fabien Poulard — Saturday, April 28 2007

L’installation d’un serveur de mail est une étape "initiatrice" qui permet de sauter le pas vers l’administration système avancée... L’email est en effet une partie très technique d’internet !

La mise en place d’une serveur email - smtp, imap, ... - est un petit peu technique, mais pas inaccessible grâce aux merveilleux serveurs développés par la communauté. En route pour le chemin initiatique ...

Installation du serveur Postfix

Si vous connaissez un petit peu l’administration sous Debian, alors vous n’allez pas être surpris de commencer par la commande suivante :

shell# apt-get install postfix postfix-doc

Selon le niveau de votre DEBCONF, vous aurez plus ou moins de questions sur la configuration. Répondez simplement Internet Site à la question sur le type de configuration général. Choisissez également l’adresse à laquelle faire suivre les messages destinés à root. Donnez également la liste des domaines pour lesquels le serveur doit accepter les emails, séparés par des espaces.

Pour ce qui est des mises à jour synchrones, il n’est pas utile des les activer. En effet, il y a vraiment peu de chance qu’un email soit perdu. Ne l’activez donc que si votre serveur ne doit absoluement pas perdre un seul email.

Une fois ces diverses questions répondues, l’installation devrait se dérouler normalement... et vous devriez vous retrouver avec un serveur Postfix fonctionnel, mais très certainement pas configuré exactement selon vos besoins. La configuration du serveur se trouve dans le fichier /etc/postfix/main.cf, nous allons y jeter un coup d’oeil.

Configuration du DNS

La première chose à faire est de configurer le serveur DNS pour choisir le nom sous-lequel le serveur va s’authentifier. La configuration d’un DNS sort du cadre de cet article, je me contenterai donc du minimum. Dans votre fichier /etc/bind/db.mon_domaine, ajoutez deux lignes du type :

mail .mon_domaine.   A      mon_ip_publique
@       MX      5       mail.mon_domaine.

La ligne avec le CNAME déclare un nouveau sous-domaine, tandis que la ligne avec le MX indique que le serveur qui prend en charge le courrier email de ce domaine est celui indiqué par le troisième champs. Le deuxième champs indique la priorité du serveur indiqué par cette entrée. N’oubliez pas non plus de modifier le Serial afin de forcer la synchronisation des autres serveurs DNS.

Vérifiez que la zone est toujours valide par le biais des utilitaires bind :

shell# named-checkzone mon_domaine /etc/bind/db.mon_domaine
zone mon_domain/IN: loaded serial 2007042301
OK

Si tout se passe bien, vous pouvez simplement recharger la configuration du serveur DNS :

shell# /etc/init.d/bind9 reload

Testez alors de l’extérieur les réponses du serveur - il se peut qu’il soit nécessaire d’attendre plusieurs heures avant que les changements ne soient visibles de l’extérieur - :

shell$ dig mx festepreuves.com

; <<>> DiG 9.4.0 <<>> mx festepreuves.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12940
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;festepreuves.com.              IN      MX

;; ANSWER SECTION:
festepreuves.com.       10800   IN      MX      5 mail.festepreuves.com.

;; ADDITIONAL SECTION:
festepreuves.com.       10800   IN      A       81.56.231.122

;; Query time: 140 msec
;; SERVER: 10.44.27.1#53(10.44.27.1)
;; WHEN: Mon Apr 23 23:47:43 2007
;; MSG SIZE  rcvd: 71

Au passage, un petit site très pratique pour tester la configuration de ses serveurs DNS : http://pingability.com/zoneinfo.jsp.

Désormais, le serveur DNS est paré à router tranquillement les emails à destination de notre domaine vers notre serveur. Il ne reste plus qu’à configurer correctement ce dernier :)

Configuration du serveur SMTP (Postfix)

Lançons-nous dans la lecture ... et la compréhension je l’espère, du fichier main.cf. Choisissez votre éditeur préférez et ouvrez le fichier. Ce dernier ne fait qu’une vingtaine de lignes ... comparé à un Apache ça semble être du gâteau ! Rassuré ?

La première chose que nous allons modifier est le contenu de la variable myhostname, cette dernière doit correspondre au nom du serveur email. En gros il faut y mettre ce que vous avez placé dans le champs MX sur votre serveur DNS :

myhostname = my_domaine

La variable relayhost définit si l’on passe par un serveur SMTP tiers, ou bien si l’on gère nous même l’envoi de nos messages. Si nous mettons en place notre propre serveur, c’est bien pour ne pas dépendre d’autres. Laissons donc cette variable vide :

relayhost =

La variable inet_interfaces permet de spécifier les interfaces réseaux sur lesquels doit répondre le serveur. Dans notre cas, nous désirons pouvoir poster du réseau local et d’internet, il est donc nécessaire d’activer toutes les interfaces :

inet_interfaces = all

La variable masquerade_domain permet d’indiquer au serveurs que certains domaines ou sous-domaines ne doivent pas être conservés tels quels, mais transformés. Ainsi, notre serveur répond au sous-domaine mail.mon_domain.com, mais nous voulons que les mails soient envoyés avec l’adresse : mon_domain.com. Indiquons donc que le domaine mail.mon_domain.com doit être géré par le masquerading :

masquerade_domains = mail.mon_domain.com 
masquerade_exceptions =

Les alias permettent de mettre en relation des adresses du serveur local et d’autres utilisateurs ou adresses. Pour le moment nous allons stocker ces adresses dans le fichier /etc/aliases :

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

Test du fonctionnement du serveur de mail

La configuration du serveur est certe incomplète car il manque le stockage des emails et leur consultation à distance, la gestion de plusieurs noms de domaine, la vérification du contenu par un antivirus, l’anti-spam, ... mais chaque chose en son temps.

Commençons par recharger la configuration du serveur avec la commande suivante :

shell# /etc/init.d/postfix reload
Reloading Postfix configuration...done.

Si tout va bien il ne devrait pas y avoir de messages d’erreur. Maintenant, tentez de vous envoyer un message à vous même (en gras ce que vous devez taper) à partir du serveur directement :

shell$ mail -s "Petit test" moi@mon_domain.com
 Voilà, c'est juste un petit test pour voir
 .
 Cc:
shell$

Vérifions que le message a bien été reçu :

shell$ mail
Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/moi": 1 message 1 new
>N  1 moi@mon_do  Sat Apr 28 14:20   14/517   Petit test
& {{1}}
Message 1:
From grdscarabe@festepreuves.com  Sat Apr 28 14:20:59 2007
X-Original-To: grdscarabe@festepreuves.com
To: grdscarabe@festepreuves.com
Subject: Petit test
Date: Sat, 28 Apr 2007 14:20:59 +0200 (CEST)
From: grdscarabe@festepreuves.com (GrdScarabe)

Juste un test

& q

Il semble bien que ça fonctionne. Attelons-nous maintenant à ajouter un alias dans le fichier /etc/alias. Par exemple, étant donné que nous n’avons pas mis en place de moyen de récupérer les messages, renvoyons-les vers une adresse que nous possédons déjà :

shell# vi /etc/aliases
# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
root: moi
moi: moi@mon_autre_adresse.fr
shell# postalias /etc/aliases

La commande postalias permet de mettre à jour la base des alias auprès du serveur, sinon il n’aurait pas pris en compte votre modification dans /etc/aliases. Envoyons alors maintenant un message à cette adresse :

shell$ mail -s "Petit test des alias" moi@mon_domain.com
 Voilà, c'est juste un petit test pour voir si les alias fonctionnent
 .
 Cc:

Une fois le message parti, allez voir dans la boîte que vous avez spécifié au niveau de l’alias. Le message doit y apparaître :) Bravo ... vous avez mis en place votre premier serveur de mail. Offrons lui l’ouverture sur le monde maintenant ...

Configuration du firewall

Si vous voulez que votre serveur accepte des mails provenant de l’extérieur, il est nécessaire de laisser le port 25 ouvert au niveau de votre firewall ! Si vous êtes chez free, commencez par lire cet article.

Pour ma part j’utilise directement iptables pour gérer mon firewall, je ne décrirai donc que cette méthode qui est de toute manière certainement la plus complexe. Il y a de fortes chances que si vous n’utilisez pas iptables, il suffise de spécifier à votre firewall de laisser passer les emails ou de débloquer le port 25.

La chaîne permettant d’autoriser l’accès au port 25 et bloquer le reste par le biais d’iptables est la suivante :

shell# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
shell# iptables -A INPUT -j REJECT

Si toutefois vous avez d’autres serveurs tournant sur la machine avec leur propre configuration du firewall, il est certainement préférable d’utiliser la chaîne suivante :

shell# iptables -I INPUT 1 -p tcp --dport 25 -j ACCEPT

Si vous voulez en savoir plus sur les règles iptales, je vous conseille de lire cet article.

Vous devriez maintenant pouvoir envoyer/recevoir des mails de votre domaine d’un peu n’importe où dans le monde :)

Utiliser tkinter sous Gentoo

Fabien Poulard — Thursday, February 22 2007

Utilisation de l’interface tk pour Python sous Gentoo.

tk est un toolkit graphique très simple à utiliser et qui peut s’interfacer avec des langages tels que tcl, C et surtout Python. Pour ce dernier langage, la version de tk interfacée se nomme tkinter.

Sous Gentoo Linux il n’y a pas de paquet tkinter, l’accès à la librairie s’obtient par le biais du user flag tcltk. Selon vos habitudes, ajoutez ce flag à la main dans le fichier /etc/make.conf ou bien utilisez l’éditeur ufed comme montré ci-dessous :

Vous pouvez ensuite réemerger Python par le biais des commandes :

shell# emerge --newuse python
shell# /usr/sbin/python-updater

Vous devriez désormais avoir accès au module tkinter et commencer à utiliser tk pour vos développement graphiques avec Python ;)

Désactiver le blocage du port 25 (envoie d'emails) sur la Freebox

Fabien Poulard — Saturday, January 27 2007

Depuis fin janvier 2007, Free - dans le cadre de la lutte contre le spam - a pris l’initiative de bloquer le port smtp (port 25) afin de limiter l’envoi d’emails de ses clients aux seuls serveurs smtp.free.fr. Sachez que la fermeture du port 25 est une protection contre vous même. En effet, si vous n’utilisez pas d’autre fournisseur de compte email que Free, le blocage de ce port est une excellente chose. Il limite ainsi les risques de voir vos machines devenir des relais à Spam.

Je vous conseille donc de suivre cette procédure si, et seulement si, vous êtes certain d’avoir besoin d’envoyer des emails par le biais d’autres serveurs que ceux de Free (ceux de votre entreprise, école, ...).

Comme à son habitude, Free nous propose une manière simple de désactiver ce blocage, en utilisant l’interface en ligne sur http://adsl.free.fr.

Connectez-vous donc à votre interface de gestion personnelle Freebox à l’aide de votre identifiant (ancien numéro de téléphone France Télécom), ainsi que de votre mot de passe. Une fois dans l’interface, cliquez sur la rubrique Fonctionnalités optionnelles de la Freebox comme indiqué ci-dessous :

Sur la nouvelle page qui doit apparaître, cliquez alors sur le lien configurer en face de Autres fonctions, comme le montre l’image ci-dessous :

Finalement, décoché la case Blocage SMTP sortant puis cliquez sur Envoyer.

Il ne vous reste alors plus qu’à rebooter votre Freebox pour pouvoir envoyer de nouveau des emails par le biais de serveurs autres que ceux de Free.

Reprendre le contrôle du Web avec Firefox et Greasemonkey

Fabien Poulard — Sunday, January 21 2007

Cet article montre, de manière didactique, le développement d’un userscript pour Greasemonkey. Il part de l’installation de l’extension à l’écriture du code en passant par l’étude du besoin.

La navigation sur le web nous ramène très souvent à parcourir encore et encore nos sites favoris. Cependant, il arrive que ces derniers aient parfois des petits défauts que nous aimerions bien pouvoir corriger afin de profiter encore mieux de leur contenu. Greasemonkey nous offre la possibilité d’écrire des scripts javascript qui nous permettrons de fixer ces petites impuretés et ainsi améliorer la lecture de nos sites favoris !

Installation de l’extension

Greasemonkey est une extension du navigateur Web que l’on ne présente plus : Mozilla Firefox. Cette extension offre la possibilité de lancer automatiquement des scripts javascripts écrits par l’utilisateur (userscript) et non le webmestre.

Le processus d’installation est assez simple. Il suffit que vous vous rendiez sur la page http://greasemonkey.mozdev.org avec Mozilla Firefox et que vous cliquiez sur le lien Install Greasemonkey :

Une fenêtre vous demandant la confirmation d’installation de l’extension devrait alors apparaître. Par sécurité vous ne pouvez pas cliquer aussitôt sur le bouton d’installation et devez attendre 3 secondes :

Cliquez-alors sur le bouton Installer, puis redémarrez Firefox.

Au redémarrage de ce dernier, une nouvelle icône devrait apparaître en bas à droite de la barre des statuts :

Dans le cas où le visage du singe est grisé et que ce dernier fait la grimace, cliquez sur l’icône, puis dans le menu sur l’entrée Enabled. Le visage devrait alors se colorer, indiquant que Greasemonkey fonctionne.

Installation et utilisation de userscript

Si vous n’avez pas le courage, les compétences ou le temps d’écrire vos propres scripts, ne vous inquiétez pas beaucoup de personnes l’ont déjà fait pour vous !

Vous pouvez notamment vous en rendre compte en vous rendant sur le site http://userscripts.org/.

Connaissez-vous le site AtomFilms ? Pour l’exemple, installons un userscript qui se lancera automatiquement lors de l’accès à ce site web. Ce userscript supprime les vidéos de publicité qui passent avant le visionnage.

Pour l’installer, rendez-vous donc sur cette page, puis cliquez sur le lien Install this script en haut à droite. Une boîte de dialogue dans ce style devrait s’afficher :

Cliquez sur Install... et le script est aussitôt installé. Vous pouvez alors vous rendre sur AtomFilms et tester. Pour vous rendre compte de la différence, faites le test avec Greasmonkey activé, puis désactivé.

Exemple d’un besoin de userscript

Vous connaissez très certainement les sites qui vous permettent de mettre en ligne gratuitement photos pour que vous puissiez les utiliser sur votre blog, comme le site http://www.imagevenue.com par exemple ?

Prenons l’exemple de ce site web : http://www.gtaforums.com/index.php?..., les images sont hébergées chez imagevenue. Lorsque vous cliquez dessus, vous arrivez sur une page contenant la dite image, ainsi que des publicités et autres artifices. Cependant, ce qui nous intéresse c’est seulement l’image elle-même !

Grâce à Greasemonkey, il est possible de développer un script qui récupère automatiquement l’adresse de l’image et nous redirige automatiquement vers cette dernière.

Avant d’écrire le script, nous devons commencer par étudier un peu les pages de ce type. A l’aide de l’explorateur de DOM on s’apperçoit rapidement que l’image qui nous intéresse est identifiée par l’id thepic. L’accès à cette image est donc aisée, de même pour l’écriture de notre script.

Ecriture d’un userscript

Les contraintes pour un userscript

Pour qu’un script javascript soit reconnu comme userscript par Greasemonkey il doit respecter certaines contraintes. La toute première est qu’il doit se terminer par .user.js.

L’autre contrainte est qu’il contienne quelques metainformations, en commentaire, telles que le nom du script, une description ainsi que les domaines auxquels ils s’appliquent. Ces informations sont renseignées grâce aux lignes de ce type :

// ==UserScript==
// @name          ViewImage
// @description   Display directly only the image on the imagevenue like websites
// @include       http://*.imagevenue.com/view.php*.jpg
// @include       http://*.imagevenue.com/img.php*.jpg
// ==/UserScript==

Ecriture de notre script

Pour écrire notre script, ouvrez un nouveau fichier viewimage.user.js dans votre éditeur de texte favoris.

Notre script doit :

isoler l’image intéressante dans la page ;
récupérer la source de cette image (attribut src) ;
rediriger la page vers l’image directement.

D’après nos observations, nous pouvons récupérer l’image à partir de son identifiant : thepic. Nous le faisons à l’aide du code :

var img = document.getElementById("thepic");

Nous récupérons ensuite la source de cette image :

var url = img.getAttribute("src");

Et nous redirigons finalement la page directement vers l’image :

var protocol, host, newurl;
protocol = window.location.protocol;
host     = window.location.hostname;
newurl = protocol + "//" + host + "/" + url;
window.location.href = newurl;

Ce qui nous donne au final, le script :

// ViewImage
// version 0.1 BETA!
// 2007-01-18
// Copyright (c) 2007, GrdScarabe
// Released under the GPL license
// http://www.gnu.org/copyleft/gpl.html
//
// --------------------------------------------------------------------
//
// This is a Greasemonkey user script.  To install it, you need
// Greasemonkey 0.3 or later: http://greasemonkey.mozdev.org/
// Then restart Firefox and revisit this script.
// Under Tools, there will be a new menu item to "Install User Script".
// Accept the default configuration and install.
//
// To uninstall, go to Tools/Manage User Scripts,
// select "Salon Auto-Pass", and click Uninstall.
//
// --------------------------------------------------------------------
//
// ==UserScript==
// @name          ViewImage
// @description   Display directly only the image on the imagevenue like websites
// @include       http://*.imagevenue.com/view.php*.jpg
// @include       http://*.imagevenue.com/img.php*.jpg
// ==/UserScript==

var img, src, protocol, host, newurl;
// on recherche dans la page l'image a afficher
img = document.getElementById("thepic");
    
// on prepare l'url de l'image
src      = img.getAttribute("src");
protocol = window.location.protocol;
host     = window.location.hostname;
newurl = protocol + "//" + host + "/" + src;
    
// ... et on s'y deplace
window.location.href = newurl;

Installation du script

La prise en compte du script par Greasemonkey est très simple. Il suffit en effet d’ouvrir le script directement dans Firefox, une boîte de dialogue vous demandera alors si vous voulez installer le script.

A vous de vous lancer dans la réalisation de userscript ... n’hésitez pas à les proposer aux autres par le biais de ce site ou bien de http://userscripts.org/.

Vous trouverez mes scripts Greasemonkey à l’adresse : http://www.grdscarabe.net/pub/dev/g....

Connaître le niveau de la batterie sous GNU/Linux sur un Acer Aspire 1680

Fabien Poulard — Wednesday, January 3 2007

Les Acer Aspire 1680 utilisent un système pas génial pour la gestion de la batterie, à savoir : Smart Battery System. Contrairement à son nom, ce système n’est pas vraiement smart étant donné qu’il est beaucoup moins évolué que l’ACPI actuel et qu’en plus les systèmes ACPI n’arrivent pas à discuter avec lui.

Prérequis

Pour pouvoir suivre cet article, vous devez savoir :

compiler un noyau
installer un programme sous votre distribution
lancer une commande en mode console

Configuration du noyau

La gestion du SBS est dans le noyau courant (2.6.19) présente sous la forme de code expérimental. Pour y avoir accès il est donc nécessaire de cocher l’option :

-> Code maturity level options
   [*] Prompt for development and/or incomplete code/drivers

Le support de SBS est intégré au sous-système ACPI. Il est donc nécessaire que celui-ci soit compilé dans le noyau pour pouvoir accéder à l’option. De plus, le support de ces batteries semble également se faire par le biais d’un bus I2C. Il est donc nécessaire de compiler ce dernier.

Je fais le choix de compiler SBS sous la forme d’un module afin de :

alléger mon noyau de base;
car le code est expérimental;
car il n’est pas nécessaire au système pour démarrer.

L’option de compilation se trouve à :

-> Power management options (ACPI, APM)
     -> ACPI (Advanced Configuration and Power Interface) Support
        -> ACPI Support (ACPI [=y])
               <M>   Smart Battery System (EXPERIMENTAL)

Vous devriez maintenant voir les options suivantes dans votre fichier .config :

...
#
# I2C support
#
CONFIG_I2C=y
CONFIG_I2C_CHARDEV=y
...
#
# Power management options (ACPI, APM)
#
CONFIG_PM=y
CONFIG_PM_LEGACY=y
CONFIG_PM_DEBUG=y
...
#
# ACPI (Advanced Configuration and Power Interface) Support
#
CONFIG_ACPI=y
...
CONFIG_ACPI_SBS=m
...

Compilation du noyau et chargement du module

Selon que vous aviez déjà le support de I2C et de l’ACPI dans votre noyau, ou non, vous devrez respectivement recompiler tout le noyau ou juste les modules.

Dans le cas où il est nécessaire de ne compiler que les modules, vous pouvez lancer les commandes suivantes :

shell# make modules && make modules_install

Puis vous pouvez charger le module SBS par le biais de la commande :

shell# modprobe sbs

Si tout s’est passé comme prévu, vous devriez voir apparaître une arborescence du type suivant sous le répertoire /proc/acpi/battery :

+ /proc/acpi/battery
   + BAT0
        + alarm
        + info
        + state

Visionner le niveau de batterie

Vous pouvez bien entendu "lire" le niveau de la batterie par le biais des fichiers présents dans le sous-répertoire /proc/acpi/battery/BAT0 ; cependant un petit utilitaire graphique pourrait être bien plus appréciable !

Parmis les applications intéressantes - et étant donné que j’utilise un bureau de type wm -, on peut trouver :

wmbattery qui permet de surveiller le niveau de batterie et de vous avertir lorsque cette dernière arrive à un niveau bas;
wmacpi qui permet de surveiller plusieurs évènements ACPI, dont la batterie. Je le trouve personnellement moins pratique que wmbattery.

Si vous utilisez des environnements comme Gnome ou KDE, il existe un certain nombre d’applets permettant de surveiller les niveaux de batterie. Je vous laisse le soin de les découvrir par vous même.

Sécuriser l'accès aux serveurs grâce à iptables

Fabien Poulard — Thursday, December 28 2006

La mise en place d’une machine sur un réseau apporte toujours son lot d’embêtement. Lorsque ce réseau est internet, la masse d’ennuis potentiels s’accroît encore plus. Un des premiers remparts à élever contre ces risques est la mise en place d’un firewall. Il existe énormément de solutions de firewall "clés en main" sous Linux, cet article propose d’utiliser un outil présent par défaut dans la plupart des distributions : iptables.

Prérequis

Pour la compréhension de cet article, il est recommandé de savoir éditer des fichiers, savoir taper des commandes en mode console, avoir des notions minimales de réseau et comprendre le fonctionnement des scripts de démarrage de type System V.

Outils

J’utilise personnellement la distribution Debian Sarge avec un noyau linux 2.6.8 et l’outil iptables en version iptables v1.3.7. Cependant, la méthode devrait fonctionner pour tous les noyaux de la branche 2.6.x, ainsi que pour les version 1.x de iptables.

Un peu de théorie sur iptables

Avant toute chose, iptables n’est pas un firewall. En lui même, iptables n’est qu’un outil qui permet de configurer la pile réseau du noyau Linux. C’est cependant un outil extrêmement puissant, et assez difficile à prendre en main. Une fois que vous maîtriserez cet outil (ce à quoi cet article ne suffira pas), vous appécierez alors le potentiel de la pile réseau offerte par le noyau Linux.

Lorsque qu’un paquet est reçu par une machine GNU/Linux, ce dernider passe par un certain nombre de "chaînes de filtrages" :

PREROUTING est la première chaîne par laquelle passe les paquets. Cette chaîne se situe juste avant la prise de décision sur le routage du paquet;
INPUT est la chaîne juste après la prise de décision du routage du paquet, lorsque le paquet est à destination de la machine elle-même;
FORWARD est la chaîne juste après la prise de décision du routage du paquet, lorsque ce dernier n’est pas à destination de la machine;
OUTPUT est la chaîne empruntée par les paquets qui proviennent de la machine elle-même avant qu’ils soient routés vers l’extérieur;
POSTROUTING est la chaîne empruntée par les paquets provenants de la machine, en sortie de la chaîne OUTPUT et juste avant que les paquets sortent vers l’extérieur.

Un dessin valant souvent mieux que de longs discours, voici un récapitulatif schématique des chemins parcourus par les paquets :

Ce schéma est inspiré du tutoriel iptables 1.2.2 de Oskar Andreasson.

Nous allons découvrir par la suite chacune des chaînes un peu plus en profondeur.

Manipulations basiques

Pour ajouter une règle à une chaîne, il faut suivre une des structures suivantes :

iptables -I <nom de la chaîne> -t <nom de la table> <règle>
iptables -I <nom de la chaîne> <position> -t <nom de la table> <règle>
iptables -A <nom de la chaîne> -t <nom de la table> <règle>

La première permet d’ajouter la règle en début de chaîne, la seconde de l’insérer à la position précisée en paramètre et enfin, la dernière de la placer en fin de chaîne. La position des règles dans la chaîne est importante car les paquets sont transformés par la première chaîne dans la liste qui leur correspond. Il est ainsi assez courant de placer en fin de chaîne une règle qui rejette tout afin de bloquer tous les paquets qui n’ont pas été acceptés par les chaînes précédentes.

Par exemple, les règles ci-dessous permettent de router les connexions tcp sur le port 80 vers l’hôte 192.168.50.1 et de rejeter tout le reste :

shell# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
shell# iptables -I PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.50.1:80
shell# iptables -A PREROUTING -t nat -j DROP
shell#  iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.50.1:80 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Bien entendu cet ensemble de règle est un peu trop strict pour la plupart des usages :) Il est possible de supprimer les règles une par une avec la commande :

shell# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.50.1:80 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
shell# iptables -D PREROUTING 1 -t nat
shell# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DROP       0    --  0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Cette manière de supprimer les règles devient rapidement fastidieuse lorsque plusieurs dizaines de règles sont présentes dans les tables. Afin de supprimer d’un seul coup toutes les règles présentes dans un tables, vous pouvez utiliser la commande :

iptables -F -t <nom de la table>

Chaîne PREROUTING

Au sein même des chaînes, il y a plusieurs tables contenant les règles à appliquer. Pour la chaîne PREROUTING, les tables les plus courantes sont :

mangle est la table utilisée pour effectuer des modifications dans les entêtes des paquets;
nat (pour Network Address Translation) permet de manipuler les champs destinations et sources des paquets afin de modifier leur routage.

La chaîne PREROUTING est la première par laquelle passent les paquets à destination de la machine et/ou transitant par la machine. Elle est donc très fréquemment utilisée pour :

router des paquets provenant de l’internet vers des machines du réseau local ne possédant pas d’ip internet;
marquer les paquets pour ensuite les router en conséquence, ou bien effectuer des opérations de QuOS (Quality Of Service = Qualité de Service). Il est ainsi possible de répartir la bande passante selon les sous-réseaux, ou ce genre de chose.

L’utilisation principale de la chaîne PREROUTING est liée au DNAT, la table mangle est trop spécifique pour être largement utilisée. Le DNAT permet d’exposer sur internet les services d’une machine qui n’y est pas directement connecté. Par exemple, si votre passerelle internet est 192.168.1.1 et que vous souhaitez rendre disponible l’accès au serveur web présent sur la machine 192.168.1.10 à internet, alors vous allez utiliser le DNAT pour redirigier les connexions vers la passerelle sur le port 80 vers le port 80 de la machine 192.168.1.10 :

shell# iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to-destination 192.168.50.10:80

Dans le même ordre d’idée, si vous avez un proxy transparent présent sur votre passerelle web, vous devriez rediriger le traffice internet vers ce dernier :

shell# iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to-port 8888

Chaîne INPUT

La chaîne INPUT est la chaîne traitant les paquets à destination de la machine et qui vont aussitôt après être réceptionnés par les différents services présents sur la machine et qui sont en écoute sur le réseau. Il s’agit donc de la dernière barrière avant l’entre du paquet sur votre machine.

Les tables disponibles pour la chaîne INPUT sont :

mangle qui a le même rôle que précédemment;
filter qui permet de filtrer (autoriser/rejeter/ignorer/...) les paquets qui s’apprêtent à entrer dans le système.

La table filter est extrêmement intéressante, elle permet de bien se protéger des attaques extérieures en bloquant les tentatives d’intrusion provenant du réseau. En effet, à l’aide de cette table, vous pouvez spécifier quels sont les types de paquets qui peuvent passer et ceux qui ne peuvent pas.

Afin d’identifier un paquet, il existe plusieurs options disponibles dans la commande iptables. Les plus intéressantes sont celles-ci :

-s permet de spécifier l’origine du paquet sous la forme d’un réseau (192.168.50.0/24) ou d’un hôte (192.168.50.1);
-d permet de spécifier la destination d’un paquet sous la forme d’un réseau ou d’un hôte;
-p permet de spécifier le type de protocol encapsulé dans le paquet (tcp, udp, icmp, ...)
--dport est accessible lorsque le protocole est udp ou tcp, il permet de spécifier le port de destination du paquet;
--sport est accessible lorsque le protocole est udp ou tcp, il permet de spécifier le port source du paquet;
-i permet de spécifier l’interface réseau par lequel est entré le paquet.

Associé à ces règles d’identifications, il existe plusieurs actions :

ACCEPT permet d’accepter le paquet;
DROP permet d’ignorer le paquet;
REJECT permet de renvoyer un paquet indiquant que l’accès est impossible.

Il est également possible de rajouter des options de reconnaissance ou de traitement plus pointus en chargeant certains modules dédiés.

Si vous souhaitez par exemple authoriser tous les paquets en provenance du sous-réseau 192.168.50.0/24, ainsi que les paquets internet destinés au port 80, ais bloquer tous les paquets à destination du port 138, voilà ce à quoi pourraient ressembler vos règles :

shell# iptbales -A INPUT -p tcp --dport 138 -j REJECT --reject-with tcp-reset
shell# iptables -A INPUT -s 192.168.50.0/24 -j ACCEPT
shell# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Chaîne FORWARD

Les tables disponibles pour la chaîne FORWARD sont :

mangle qui a le même rôle que précédemment;
filter qui fonctionne exactement comme pour la chaîne INPUT.

La chaîne FORWARD est empruntée par les paquets qui transitent par votre machine. Ceci est le cas si votre machine sert de passerelle entre plusieurs réseaux, entre votre réseau local et internet par exemple. Il y a de fortes chances que vous n’ayez pas trop à vous soucier de cette chaîne sur vos ordinateurs de bureau. Sur votre serveur toutefois, vous voulez très certainement limiter la transition des paquets aux seuls provenant de votre réseau local ou à destination de ce dernier.

Par exemple, si votre passerelle offre l’internet à un sous-réseau 192.168.0.0/24, vous pouvez limiter le transite des paquets grâce aux règles :

shell# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
shell# iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
shell# iptables -A FORWARD -j DROP

Chaîne OUTPUT

La chaîne OUTPUT est la chaîne empruntée par les paquets juste sortis des services disponibles sur la machine, juste avant leur routage. Les tables et les options disponibles sont les mêmes que celles de la chaîne INPUT.

Chaîne POSTROUTING

La chaîne POSTROUTING est la chaîne empruntée juste après la chaîne OUTPUT et après la décision de routage des paquets. Les tables et les options disponibles sont les mêmes que celles de la chaîne PREROUTING.

Création de chaînes personnalisées

Afin de répondre à des besoins spécifiques, il est possible de mettre en place des chaînes personnalisées pour le traitement des paquets. C’est notamment très couramment utilisé pour logguer certains paquets particuliers afin de détecter des attaques.

La création d’une nouvelle chaîne se fait grâce à l’option -N de la commande iptables, suivi du nom de la chaîne (qui doit bien entendu ne pas être un nom déjà utilisé. Une fois la chaîne créée, vous pouvez alors l’utiliser comme une chaîne standard.

Par exemple, les commandes suivantes permettent de créer une chaîne qui logguent certains paquets avant de les supprimer. Il est ainsi possible de garder une trace des éventuelles tentatives d’attaques contre votre réseau :

shell# iptables -N LOG_DROP
shell# iptables -A LOG_DROP -p udp --dport 138 -j LOG --log-prefix '[FIREWALL] Netbios intrusion udp/138: ' --log-ip-options
shell# iptables -A LOG_DROP -p udp --dport 137 -j LOG --log-prefix '[FIREWALL] Netbios intrusion udp/137: ' --log-ip-options
shell# iptables -A LOG_DROP -j REJECT

Pour que cette chaîne soit utilisée, il suffit de la spécifier comme paramètre -j au lieu de DROP dans les règles. Par exemple :

shell# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j LOG_DROP

La suppression des chaînes personnalisées se fait par le biais de l’option -X suivie du nom de la chaîne :

shell# iptables -X LOG_DROP

Exemple complet

Voici un exemple de code utilisant iptables pour mettre en place des règles de firewall pour un serveur à moi. Je l’utilise en tant que script init. Il n’est pas très complet, mais donne déjà une idée des possibilités offertes :

#!/bin/sh
# Copyright 2006 GrdScarabe
# Distributed under the terms of the GNU General Public License v2

## ------------------------- VARIABLES ---------------------------- ##
IPT=/sbin/iptables # iptable executable
OUT=eth1           # internet interface
IN=eth0            # network interface
# IP de l'interface internet
EXT_IP="`ifconfig $OUT | grep 'inet addr' | \
        awk '{print $2}' | sed -e 's/.*://'`"
# IP de l'interface reseau interne
INT_IP="`ifconfig $IN | grep 'inet addr' | \
        awk '{print $2}' | sed -e 's/.*://'`"

## ---------------- FONCTIONS D'INITIALISATION --------------------- ##

# Function to clear all entered rules
clear_all_rules () {
        # removing the rules of each table
        for table in filter nat mangle; do
                $IPT -t $table -F
                $IPT -t $table -X
        done;
}

# Function to create the logging chain for dropping packets
create_reject_log_chain () {
        # creation de la chaine
        $IPT -N REJECT_LOG

        # regles de log
        $IPT -A REJECT_LOG -i $OUT -p udp --dport 138 -j LOG \
                --log-prefix "[FIREWALL] Netbios udp/138 : " \
                --log-ip-options
        $IPT -A REJECT_LOG -i $OUT -p udp --dport 139 -j LOG \
                --log-prefix "[FIREWALL] Netbios udp/139 : " \
                --log-ip-options

        # log par defaut
        $IPT -A REJECT_LOG -j LOG \
                --log-prefix "[FIREWALL] Unknown : " \
                --log-ip-options

        # drop de tous les paquets qui passent chaines
        $IPT -A REJECT_LOG -j DROP
}

# Function to set the default policies for the main chains
set_default_policies () {
        # Drop ICMP echo-request messages sent to broadcast 
        # or multicast addresses
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
        # Drop source routed packets
        echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
        # Enable TCP SYN cookie protection from SYN floods
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies
       # Don't accept ICMP redirect messages
        echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
        # Don't send ICMP redirect messages
        echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
        # Enable source address spoofing protection
        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        # Log packets with impossible source addresses
        echo 0 > /proc/sys/net/ipv4/conf/all/log_martians

        # on recupere la policy par defaut
        if [ "x$1" == "x" ]; then
                # par defaut on rejette tout
                def="DROP"
        else
                def="$1"
        fi

        # default policy for incoming packets
        $IPT -P INPUT $def
        # default policy for outgoing packets
        $IPT -P OUTPUT $def
        # default policy for forwarding packetss
        $IPT -P FORWARD $def
}

## ---------------- GESTION DES SOUS-RESEAUX --------------------- ##

# Give access to everything on the loopback interface
allow_loopback_access () {
        # access to everyting in INPUT
        $IPT -A INPUT -i lo -j ACCEPT
        # access to everything in OUTPUT
        $IPT -A OUTPUT -o lo -j ACCEPT
}

# Mise en place du routage des paquets vers l'internet
add_masquerading(){
        # partage d'internet avec le reseau
        echo 1 > /proc/sys/net/ipv4/ip_forward
        $IPT -A POSTROUTING -t nat -o $OUT -j MASQUERADE
        $IPT -A FORWARD -i $OUT -j ACCEPT
        $IPT -A FORWARD -s 192.168.50.0/24 -j ACCEPT
}

# Tous les paquets sortants vers l'internet sont autorises
# de meme que les paquets provenant du serveur vers le 
# reseau local
allow_outgoing_packets(){
        # les paquets vers internet sont autorises
        $IPT -A OUTPUT -t filter -o $OUT -j ACCEPT
        # les paquets du serveur vers le reseau egalement
        $IPT -A OUTPUT -t filter -o $IN -s $EXT_IP -j ACCEPT
        $IPT -A OUTPUT -t filter -o $IN -s $INT_IP -j ACCEPT
}
## -------------- REGLES POUR L'ACCES AUX SERVEURS ---------------- ##

# Autorisation aux connections en cours de continuer
allow_current_connections(){
        $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
}

# Add rule for enabling access to dhcp server from subnet
allow_dhcp_access (){
        # accepting dhcp from subnet
        $IPT -A INPUT -i $IN -p udp --dport 67 -j ACCEPT
}

# Add rules for enabling dns requests from the machine
allow_dns_access () {
        # accepting DNS request
        $IPT -A INPUT  -p udp --sport 53 -j ACCEPT
}

# Add rules for enabling web access to the machine
allow_web_access () {
        # access from the web granted
        $IPT -A INPUT -p tcp --dport 80 -j ACCEPT
        $IPT -A INPUT -p tcp --dport https -j ACCEPT
}

# Add rules to allow ssh connections from my pc
allow_ssh_access () {
        # for connections to the machine
        $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
}

## ---------------REGLES DU SOUS-RESEAU 192.168.50.0/24 -------------- ##

# Add rules for allowing ping from local network
allow_ping_from_subnet () {
        # Allow ICMP ECHO REQUESTS from anywhere on local network
        $IPT -A INPUT -s 192.168.50.0/24 -p icmp --icmp-type echo-request -j ACC
EPT
}

# Tout ce qui provient du reseau est sur
allow_all_from_subnet () {
        $IPT -A INPUT -s 192.168.50.0/24 -i $IN -j ACCEPT
}

##### ----------------------------------------------------------- #####
##### ----------------------------------------------------------- #####
##### ----------------------------------------------------------- #####


case "$1" in
        start)
                echo -e "\n===== Hermes Firewall v0.5 =====\n"

                echo -e "Adresse internet : $EXT_IP"
                echo -e "Adresse locale   : $INT_IP\n"

                # -- Initialisation des regles -- #     
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Creation de la chaine de log.........."
                create_reject_log_chain
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Politiques par defaut................."
                set_default_policies "DROP"
                echo -e "\033[01;32m[OK]\033[00m"

                # -- Regles de base -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Autorisation des connexions connues..."
                allow_current_connections
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces a l'interface loopback.........."
                allow_loopback_access
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Routage vers internet (masquerade)...."
                add_masquerading
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Autorisation sortie des paquets......."
                allow_outgoing_packets
                echo -e "\033[01;32m[OK]\033[00m"

                # -- Configuration du sous-reseau 192.168.50.0/24 -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Autoriser tout de 192.168.50.0/24....."
                allow_all_from_subnet
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Ping de 192.168.50.0/24 autorises....."
                allow_ping_from_subnet
                echo -e "\033[01;32m[OK]\033[00m"

                # -- Acces aux serveurs -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces au serveur DHCP................."
                allow_dhcp_access
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces au serveur DNS.................."
                allow_dns_access
                echo -e "\033[01;32m[OK]\033[00m"


                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces au serveur Web.................."
                allow_web_access
                echo -e "\033[01;32m[OK]\033[00m"


                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces au serveur SSH.................."
                allow_ssh_access
                echo -e "\033[01;32m[OK]\033[00m"

                # -- On rejette tout le reste -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Rejet en masse du reste..............."
                $IPT -A INPUT   -j REJECT_LOG
                $IPT -A OUTPUT  -j REJECT_LOG
                $IPT -A FORWARD -j REJECT_LOG
                echo -e "\033[01;32m[OK]\033[00m"
                ;;

        stop)
                # -- On remet tout propre -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Nettoyage des regles presentes........"
                clear_all_rules
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Politiques par defaut................."
                set_default_policies "ACCEPT"
                echo -e "\033[01;32m[OK]\033[00m"
                ;;

        restart)
                eval $0 stop
                eval $0 start
                ;;

        min)
                # -- On met juste en marche le routage -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Nettoyage des regles presentes........"
                clear_all_rules
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Politiques par defaut................."
                set_default_policies "ACCEPT"
                echo -e "\033[01;32m[OK]\033[00m"

                # -- Regles de base -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Autorisation des connexions connues..."
                allow_current_connections
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Acces a l'interface loopback.........."
                allow_loopback_access
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Routage vers internet (masquerade)...."
                add_masquerading
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Autorisation sortie des paquets......."
                allow_outgoing_packets
                echo -e "\033[01;32m[OK]\033[00m"
                ;;

        bloc)
                # -- On bloque tout -- #
                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Nettoyage des regles presentes........"
                clear_all_rules
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "Politiques par defaut................."
                set_default_policies "DROP"
                echo -e "\033[01;32m[OK]\033[00m"

                echo -ne "\033[01;32m*\033[00m"
                echo -ne "On stoppe tout traffic................"
                $IPT -A INPUT   -j DROP
                $IPT -A OUTPUT  -j DROP
                $IPT -A FORWARD -j DROP
                echo -e "\033[01;32m[OK]\033[00m"
                ;;

        status)
                echo -ne ".........TABLE MANGLE........\n"
                $IPT -nvL -t mangle
                echo -ne "...........TABLE NAT.........\n"
                $IPT -nvL -t nat
                echo -ne ".........TABLE FILTER........\n"
                $IPT -nvL -t filter
                ;;

        *)
                echo "Uses : "
                echo "        $0 start to set up firewall rules"
                echo "        $0 stop to disable firewall"
                echo "        $0 restart to reinitialize firewall"
                echo "        $0 min for minimal service"
                echo "        $0 bloc for stopping traffic"
                echo "        $0 status for displaying rules"
                ;;
esac

Apache : rediriger automatiquement vers un répertoire

Fabien Poulard — Thursday, December 28 2006

Lorsque vous installez des applications web, sur votre espace web, il se peut que, pour une raison ou une autre, vous aimeriez que la page d’accueil de votre site soit une page présente dans un sous-répertoire.

Vous aimeriez que lorsque l’internaute qui visite votre site web tape l’adresse de ce dernier, il se trouve automatiquement projeté dans le répertoire désiré ? Pour ce faire, rendez-vous à la racine de votre site web et créez un fichier nommé .htaccess.

Ouvrez ce fichier et ajoutez-y une ligne du style :

RedirectMatch 301 ^/$ /repertoire/

... et le tour est joué ;)

Afin de s’assurer que l’astuce fontionne, il faudra recharger la configuration d’Apache et s’assurer que les fichiers .htaccess sont autorisés à surcharger les fonctions de redirection !