Afficher les icones des paquets debian

Les paquets de logiciels debian peuvent intégrer une icone du logiciel qu’ils installent. Tous n’ont pas cette icone, mais certains, et de plus en plus, l’intègrent. C’est joli, inutile,mais forcément indispensable.

Pour les afficher, il faut installer un logiciel deb-thumbnailer , soit en passant par le ppa

sudo add-apt-repository ppa:deb-thumbnailer-team/ppa
sudo apt-get update
sudo apt-get install deb-thumbnailer

soit en installant directement le paquet deb puis en vous déconnectant/reconnectant.

Ubuntu Lucid: résoudre l’erreur « service xxx start: exec:129: start: not found »

Sur certains système Ubuntu Lucid fraichement installés, j’ai remarqué une erreur étrange qui n’est pas systématique, alors que le disque d’installation est le même (pas une copie, mais véritablement le même) et que les ordinateurs sont parfois différents mais parfois identiques.

Je viens de reconstater l’erreur sur deux ordinateurs strictement identiques (seuls les numéros de série changent), installés l’un après l’autre avec le même disque d’installation.

Sur l’un des systèmes, pas de problème. Sur l’autre, des erreurs non flagrantes apparaissent:

A l’installation d’un programme lançant un service, il apparait une erreur de ce type:

...
Paramétrage de cups-pdf (2.5.0-12) ...
   * Reloading Common Unix Printing System: cupsd                        [fail]

Quand on relance manuellement le service, on a ceci:

#service ssh restart
exec: 129: restart: not found

C’est bien sûr la même chose avec stop, restart, …

Après beaucoup de recherches, j’avais trouvé que c’était un problème dû à udev. Je ne me souviens plus de la raison donnée à l’époque.

Comme le problème vient de m’arriver de nouveau, je vous donne la solution, au cas où vous vous trouveriez dans le même cas: il faut réinstaller udev et redémarrer l’ordinateur (facultatif, mais préférable pour que tous les services soient lancés dans l’ordre prévu)

sudo apt-get install --reinstall udev
sudo apt-get install --reinstall upstart

Je dis que ce n’est pas flagrant, parce que la première fois, j’ai livré l’ordinateur sans constater de dysfonctionnement à l’usage. Alors que j’avais testé le fonctionnement général, comme à chaque fois. C’est le fait de devoir relancer manuellement cups à chaque fois pour pouvoir imprimer qui a révélé le problème.

Aujourd’hui, je ne me fais plus avoir.

Prendre une capture d’écran sous gnome (simple et avancée)

Savoir prendre une capture d’écran apporte des avantages immédiats¹: copie d’un message d’erreur pour qu’un expert puisse l’expliquer, garder une preuve d’un paiement sur un site, ou d’un commentaire sur un forum, copie d’une image ou d’un schéma quand le clic droit est désactivé par le site, ….

L’usage ne dépend que de votre imagination.

La touche magique

De base, pour prendre une capture d’écran, il suffit d’appuyer sur le bouton imp écr (ou « print screen« , selon les claviers). C’est une touche qui se situe en général vers le haut et la droite de votre clavier, mais sur certains portables exotiques, je l’ai déjà trouvée à gauche.  Cherchez autour des touches « Insert« , « Suppr« , « Orig« , … Celles que vous n’utilisez que rarement. Parfois, sur les portables, il faut appuyer en même temps sur la touche de fonction « Fn » pour utiliser la fonction de capture d’écran notée dans une autre couleur sur la touche.

Clavier de portable

Capture simple

Lorsque vous avez appuyé sur la touche, immédiatement, une capture d’écran est effectuée (l’ensemble de ce qui est visible à l’écran) et il vous est proposé de l’enregistrer sur votre ordinateur.

Capture_ecran_standard

A la différence de windows, il n’est pas nécessaire d’ouvrir ensuite un document pour coller l’image² qui est mémorisée dans le presse papier sans message de la part de Windows. C’est la raison qui fait que la majorité des utilisateurs pense que cette touche ne fonctionne pas et ne sert à rien, et qu’on en arrive à vendre des logiciels de capture d’écran

Simple, mais puissante

Il existe une option « cachée », un raccourci en fait, qui vous permet d’aller plus loin:

  • Si vous appuyez sur ALT en même temps que la touche d’impression d’écran, vous ne capturerez que la fenêtre active à l’écran.

Utilisation avancée

Le logiciel de capture d’écran de gnome possède des options avancées permettant plus de liberté. Vous y accédez par le menu Applications > Accessoires > Capture d’écran.

Vous pouvez alors choisir parmi plusieurs options:

  • Capturer l’ensemble du bureau (ce qui est identique au mode simple)
  • Ne capturer que la fenêtre active (ce qui vous évite d’éditer l’image du bureau complet pour découper la fenêtre qui vous intéresse)
  • Sélectionner une zone à capturer. Le pointeur se transforme en croix, et vous devez cliquer/glisser pour sélectionner votre zone. N’ayez pas peur de cliquer sur un bouton: tant que le pointeur représente une croix, les applications ne sont pas actives. Attention quand même aux clics parkinsoniens.

Vous pouvez choisir, pour certaines options, un décalage entre le moment où vous cliquez sur le bouton Prendre une capture d’écran et le moment où la photo sera prise, ce qui permet de capturer les menus, menus contextuels et fenêtres modales, ou d’activer une action afin qu’elle soit présente sur l’image finale.

Capture_d'écran_avancée

Par rapport à la méthode simple, cela vous oblige juste à un clic supplémentaire pour prendre votre capture d’écran. Mais il faut aller dans les menus pour avoir la fenêtre avec les options…

Accès direct aux options de capture

Rassurez vous (même si vous n’étiez pas inquiets), il est possible d’avoir ce comportement avec la touche impr écr en allant simplement modifier un réglage dans la configuration de gnome.

Ouvrez gconf-editor (ALT+F2 puis gconf-editor) et rendez vous à /apps/metacity/keybinding_commands/command_screenshot. Double cliquez sur la ligne affichant gnome-screenshot et ajoutez en fin l’option « -i » pour avoir gnome-screenshot -i, ce qui demande au logiciel de capture de s’ouvrir en mode interactif. Validez et fermez. Vous pouvez maintenant tester en utilisant la touche d’impression d’écran.

Modification de la clef dans la configuration de gnome pour faire apparaitre les options lors de l'appuis sur la touche impr écr (print screen)

Bien sûr, pour revenir au comportement par défaut, il suffit d’effectuer les mêmes opérations et de supprimer l’option « -i ».

Mais aussi:

Il est possible d’effectuer des captures d’écran en ligne de commande, vous trouverez plein de choses sur le net, en particulier sur Wikipedia, mais ce n’est pas le cadre de cet article. Cependant, le man de gnome-screenshot vous donnera des indications sur les options que vous pouvez ajouter à la commande dans gconf-editor³.

  1. Ce qui n’est pas le cas de tout le monde, et cet article m’évitera de me répéter.
  2. Vous n’imaginez pas le nombre de document word ne contenant qu’une image que je peux recevoir par courrier…
  3. Vous pouvez ajouter des effets, en particulier une ombre autour de votre capture.

Se connecter automatiquement à FreeWifi

C’est une astuce trouvée sur webynux (comme quoi c’est intéressant de suivre ses pings) qui permet de s’identifier automatiquement sur le réseau FreeWifi sans avoir à entrer à chaque fois ses codes.

Voici le script à créer dans /etc/NetworkManager/dispatcher.d/freewifi.sh:

#!/bin/sh
 
[ ! -f /sbin/iwconfig -o ! -x /sbin/iwconfig ] && exit 0
[ `/sbin/iwconfig 2>&1|grep -i freewifi|wc -l` -eq 0 ] && logger "Ce n'est pas FreeWifi ..." && exit 0
 
. /etc/freewifi.conf
 
wget -O - --post-data="login=$LOGIN&password=$PASSWORD" "https://wifi.free.fr/Auth" 2>/dev/null|grep "CONNEXION AU SERVICE REUSSIE" 1>/dev/null 2>&1 && logger "Connection FreeWifi OK" && exit 0
logger "Erreur de connection FreeWifi"
exit 0

Rendez ce script exécutable avec la commande:

chmod +x /etc/NetworkManager/dispatcher.d/freewifi.sh

Créez ensuite un fichier /etc/freewifi.conf contenant:

LOGIN=xxxx
PASSWORD=yyyy

C’est tellement pratique!

Dès que j’aurais le temps, j’en ferais un deb pour pouvoir l’installer facilement.

Au passage, ça m’a permis de découvrir la commande logger

Ubuntu Lucid:Editer le chemin de Nautilus

Sur les anciennes versions de gnome, il était possible d’afficher et de modifier le chemin autrement qu’avec des boutons, et basculer d’un mode à l’autre en cliquant sur le bouton représentant un crayon et une feuille.

Sur Lucid, cette possibilité a été supprimée. En fait, seul le bouton a disparu, mais il est toujours possible de passer d’un mode à l’autre en utilisant les racourcis CTRL + L pour afficher le chemin textuel, et ESC (avec la barre d’adresse active) pour revenir aux boutons.

Fin de l’article technique.

Réflexions personnelles:

On va encore me targuer de nostalgie, mais je trouve que la possibilité de passer simplement d’un mode à l’autre était important:

  • Pour les geeks, pas la peine de faire un dessin
  • Pour les autres, ça permettait une première approche de l’arborescence et du classement des dossiers autrement que renfermé dans le mode « dossier à cliquer ». L’argument de dire que c’est compliqué, que ça n’apporte rien ou que ça perturbe les gens ne tient pas: tous les explorateurs des XP que je connais ont cette barre et personne n’a suivi de thérapie à cause de celle ci. Les gens utilisent, ou pas, mais ça ne les gène pas.

Est ce une évolution progressive vers un mode de travail différent ? Peut être, l’avenir nous le dira.
Toujours est il que je constate que les systèmes d’exploitation (quels qu’ils soient), sous prétexte d’offrir une expérience utilisateur étendue (mauvaise traduction de enhanced user experience), cachent de plus en plus le fonctionnement du système à l’utilisateur, y compris l’emplacement de ses propres fichiers. Comment, dans ce cas, peut il construire sa représentation mentale de son environnement numérique? Et s’y retrouver ? A moins que…

A moins que les documents utilisateurs ne soient plus stockés dans l’ordinateur, mais dans les nuages. Si j’en conçois bien les avantages indéniables pour tous, j’ai aussi conscience des inconvénients!

A l’heure où l’accès à l’internet n’est toujours pas un droit inaliénable, où la popularité se compte en pages Facebook, tweeter et autres contacts MSN, ne plus avoir le contrôle de ses données c’est aussi ne plus exister en tant qu’individu IRL si HADOPI and co vous a dans le viseur.

Mais n’est ce pas (un peu) le but recherché?

Mode paranoïa: off. Merci d’avoir suivi. Tout ça pour une pauvre barre d’adresse…

Edit du 03/06/2010: sur le forum Ubuntu, une astuce a été donnée pour retrouver un bouton permettant de basculer d’un mode à l’autre en utilisant « nautilus-actions ». Cela fonctionne bien, sauf que le bouton n’est plus à son emplacement habituel, ce qui n’est pas très grave.

Accéder à un serveur MYSQL sur le réseau

Lorsque vous installez un serveur MYSQL (ou un serveur LAMP avec tasksel), celui ci est paramétré par défaut pour n’autoriser que les connexions provenant de localhost, pour des raisons de sécurité.

[root@halter]:# telnet 10.0.0.134 3306
Trying 10.0.0.134...
telnet: Unable to connect to remote host: Connection refused

Si on effectue un scan de port sur l’ordinateur hébergeant le serveur Mysql, on voit bien que le port par défaut de Mysql, le 3306, n’apparait pas. Il est donc impossible de se connecter à se serveur depuis un autre ordinateur du réseau.

[root@halter]:# nmap 10.0.0.134</code>
 
Starting Nmap 4.76 ( http://nmap.org ) at 2010-04-04 15:15 CEST
Interesting ports on vdomaine.com (10.0.0.134):
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
2000/tcp open  callbook
MAC Address: 00:1E:2A:B4:CA:xx (Netgear)

Pour indiquer au serveur qu’il doit autoriser les connexions provenant d’autres ordinateurs du réseau, il faut modifier le fichier de configuration de Mysql, le fichier /etc/mysql/my.cnf et modifier 2 lignes:

La première, dé-commentée par défaut, indique au serveur d’ignorer les requêtes extérieures. Il faut donc la commenter (ou la supprimer)

#skip-external-locking

La seconde indique au serveur sur quelle adresse il faut écouter les requètes. Par défaut, il s’agit de 127.0.0.1. Si vous voulez autoriser le réseau local, n’indiquez pas une adresse réseau mais bien l’adresse du serveur sur le réseau. D’où l’intérêt d’avoir des réglages IP fixes ou des baux permanents attribués par le DHCP. Dans le cas contraire, je vous promet des heures de recherche infructueuses avant de revenir dessus.

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 10.0.0.134

Une fois le serveur Mysql relancé, un nouveau scan montre l’ouverture effective pour Mysql:

[root@halter]:# nmap 10.0.0.134</code>
 
Starting Nmap 4.76 ( http://nmap.org ) at 2010-04-04 15:16 CEST
Interesting ports on vdomaine.com (10.0.0.134):
Not shown: 995 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
2000/tcp open  callbook
3306/tcp open  mysql
MAC Address: 00:1E:2A:B4:CA:xx (Netgear)

A partir de ce moment, une connexion au serveur a déjà beaucoup plus de chances de réussir:

manu@halter:~$ mysql -p -h 10.0.0.134 -u othtest -P 3306
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 42
Server version: 5.1.41-3ubuntu11 (Ubuntu)
 
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
 
mysql&gt;

Ce n’est pas une astuce extraordinaire, mais maintenant que j’en ai fait un article, je suis sûr de m’en souvenir et de ne plus perdre une matinée à trouver le problème lorsque je rechangerais mon adressage… Alors, j’imagine que ça sera utile pour d’autres que moi.

Remettre les boutons de fenêtre de Lucid à droite

Je teste de plus en plus Ubuntu Lucid, puisque mes programmes devront tourner le plus tôt possible sur cette version dans un peu plus d’un mois. C’est encore une version instable, donc il est déconseillé de l’utiliser en production avant sa sortie officielle

Avec le nouveau thème, Ubuntu Lucid apporte une modification qui n’est pas anodine: les boutons de fenêtre (maximiser, minimiser et fermer) sont placés à gauche de la barre de titre au lieu d’être à droite.

C’est sans doute très « staaaïle« , mais c’est surtout une remise en cause de nombreuses années d’habitudes qui va fortement perturber les utilisateurs, moi y compris.

Autant le nouveau thème mauve ne me dérange pas trop (bien que je trouve qu’il fasse très féminin, mais c’est peut être une chance d’attirer les femmes vers le libre), autant cette modification d’emplacement de boutons me fait faire des kilomètres avec la souris et me provoque une frustration à chaque manipulation de fenêtre. Sans compter que mes clients vont me hair si je leur change leurs habitudes.

De plus, plusieurs thèmes deviennent affreux parce qu’ils n’ont pas été conçus avec la possibilité de mettre les boutons à gauche.

(Le thème de l’image n’est pas le mauve dont je vous parlais ci dessus)

Heureusement, il est assez simple de revenir à l’ancien emplacement des boutons (quand on connait la méthode).

Lancer gconf-editor par Alt+F2 et rendez vous à /apps/metacity/general/button_layout. Remplacez « maximize,minimize,close: » par « :minimize,maximize,close » (ne déplacez pas seulement les deux points de la fin au début de la chaine, notez que les boutons ne sont pas dans l’ordre habituel). La modification est immédiate dès que vous validez.

Il est possible que les choses changent encore avant la sortie officielle, mais dans le cas contraire, vous saurez au moins comment remettre les boutons à l’endroit où vous allez machinalement les chercher.

Identifiants déconseillés de Février

Avec un peu de retard (boulot, boulot…) voici les identifiants à éviter sur vos ordinateurs.

******************************************************************
Classement des logins et des adresses utilisés
pour le mois de Feb 2010
pour des tentatives de connexion
sur les serveurs de la société Absolacom
******************************************************************
******************************************************************
Classement des logins utilisés (105):
******************************************************************
root            575
admin           100
test            49
oracle          47
webmaster       46
administrator   45
backup          43
guest           43
user            43
web             42
superadmin      42
server          42
ftproot         42
www             42
access          42
super           42
account         42
sql             42
data            42
database        42
sa              42
Administrator   12
ts              11
db2inst1        9
staff           7
dan             6
mysql           4
mlmb            4
bin             4
sales           4
deploy          4
eaguilar        3
PlcmSpIp        3
gruber          3
sekretariat     2
estudiante      2
teamspeak       2
gamefiles       2
alexis          2
isidro          2
stud            2
db2fenc1        2
payala          2
plcmspip        2
delta           2
nagios          2
place           2
thomas          1
scott           1
lucus           1
gt05            1
aaron           1
horvat          1
aarne.rae       1
ventrilo        1
noe             1
dark            1
anonymous       1
peeters         1
darkman         1
upload          1
neoperfect      1
fluffy          1
jeffrey         1
chuck           1
sec             1
0116331077      1
rfmngr          1
thorarne        1
troot           1
hostmaster      1
murmur          1
luis            1
post            1
apple           1
mstr            1
jesus           1
dasusr1         1
mark            1
anyone          1
redmine         1
Mueee           1
dup             1
norton          1
bluelf          1
work            1
recruit         1
nina            1
ftp             1
dana            1
user1           1
manager01       1
jensen          1
antoine         1
trash           1
designer        1
passwd          1
wwwweb          1
william         1
student         1
huabo           1
a               1
lucas           1
globus          1
stephanie       1

******************************************************************
Nombre de tentatives par plage horaire:
******************************************************************
0-1    ######### (9)
1-2
2-3    #### (4)
3-4    ###### (6)
4-5    #### (4)
5-6    ### (3)
6-7    ############ (12)
7-8    ############ (12)
8-9    ###################################### (38)
9-10    ############### (15)
10-11    ########################## (26)
11-12    ############## (14)
12-13    ########### (11)
13-14    ########################### (27)
14-15    ################ (16)
15-16    ############################### (31)
16-17    ############################## (30)
17-18    ############################# (29)
18-19    ###################### (22)
19-20    ############ (12)
20-21    ################## (18)
21-22    ############################################# (45)
22-23    ############################## (30)
23-24    ###################################################### (54)

Comme d’habitude, les données complètes peuvent être trouvées dans le fichier de février: scanresult_feb_2010

Une nette augmentation des tentatives d’accès avec le compte root: quand on vous dit qu’il faut le désactiver dans /etc/ssh/sshd_config! Admin est aussi bien placé.

Un peu plus agité le matin, démarrage à 8h, une montée entre 15 et 19 heures, mais avec aussi un beau pic dans la nuit. Je suis persuadé qu’une bonne partie des ordinateurs allumés dans la journée mériteraient un bon nettoyage…

Problème d’accès au bureau à distance de XP

J’ai eu le cas d’un ordinateur sur lequel il était impossible d’accéder au bureau à distance. Pourtant, tous les réglages semblaient corrects et le firewall désactivé.

En allant regarder l’observateur d’évènement (section système), il y avait des messages indiquant Popup:\SystemRoot\System32\RDPDD.dll failed to load. Donc, le service RDP n’étant pas démarré, il n’était pas étonnant de ne pas pouvoir se connecter.

Par contre, aucun message d’erreur lorsqu’on tentait une connexion, simplement la disparition de la fenêtre de connexion à distance.

En faisant une recherche, il est apparu que le problème pouvait provenir de la carte graphique. Certains conseillent de désactiver l’accélération matérielle, mais cela n’a pas fonctionné pour moi, le panneau nvidia se plaignant en permanence de ne pouvoir afficher les options avancées.

Ce problème n’est pas spécifique à une carte graphique, quelle qu’en soit la marque, et peut même se produire aussi avec des pilotes d’imprimante. Il provient du fait que l’espace mémoire défini pour l’affichage de la session distante est trop limité pour y charger les pilotes. Cet espace mémoire est partagé pour les pilotes d’affichage et d’impression. La solution est donc d’indiquer explicitement une taille plus importante afin que le service RDP puisse se lancer correctement.

Sur les forums nvidia, on trouve la solution suivante:

  • Ouvrez regedit
  • Naviguez jusqu’à [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
  • Créez une nouvelle clef DWORD
  • Nommez la “SessionImageSize
  • Donnez lui la valeur 20, 40, 60 ou 80, ce qui va attribuer une quantité de mémoire au serveur RDP.
    • 00000020 = 32MB
    • 00000040 = 64MB
    • 00000060 = 96MB
    • 00000080 = 128MB
  • Essayez les valeurs les unes après les autres. La valeur 80 a fonctionné pour moi, pas les autres.
  • Redémarrez l’ordinateur
  • Tentez de vous connecter (depuis un autre ordinateur.  En local, il va vous jeter)
  • Si ça ne fonctionne pas, modifiez la valeur et recommencez.

J’ai quand même perdu une heure avec cette histoire. Espérons que ça vous sera utile.

Identifiants déconseillés de janvier

Avec 3 jours de retard, mais voici la liste des identifiants déconseillés pour janvier. Comme ce sont les identifiants utilisés pour tenter d’entrer sur mes serveurs, il est déconseillé de les utiliser sur les votre, sinon vous allez faciliter la tâche aux pirates.

******************************************************************
Classement des logins utilisés (119):
******************************************************************
root			        205
oracle			        17
postgres			15
sales			        15
nagios			        15
test			 	15
ts			 	13
info			 	13
Administrator		        13
service	        	        12
NULL			 	12
staff			 	9
admin			        8
teamspeak			5
webmaster			5
gustavo			        5
gamefiles			4
db2inst1			4
guest			 	4
samba			        3
upload			        3
alexis			 	3
recruit			        3
user3			 	3
alias			 	3
hlds			 	3
globus			        3
office			 	2
mysql			        2
djeli			 	2
monica			        2
anonymous			2
ts1			 	2
postmaster			2
rpdv			 	2
stud			 	2
db2fenc1			2
ts3			 	2
bingo			 	2
mlmb			 	2
redmine			        2
webadmin			2
shoutcast			2
adempiere			2
administrator		        2
kelvin			        2
test1			 	1
cvsroot			        1
santiago			1
web			 	1
claude		          	1
condor			        1
tt			 	1
grace			 	1
alberto			        1
xtn			 	1
comicup			        1
administratiu		        1
patrick			        1
cstrike			        1
sato			 	1
ts2			 	1
alexandre			1
claudia			        1
www			 	1
library			        1
yoshida			        1
joan			 	1
mvrabel			        1
rp			 	1
anne			 	1
ken			 	1
virtuoso			1
marine			        1
extreme			        1
eggdrop			        1
firebird			1
amanda			        1
joomla			        1
raimundo			1
groundworks		        1
enzo			 	1
apple			 	1
unix			 	1
linux			 	1
Crouse			        1
brc			 	1
ecommerce			1
cyrus			 	1
zoro			 	1
keltika			        1
suzuki			        1
shell			 	1
nobody			        1
oracle1			        1
netdump			        1
andrea			        1
cacti			 	1
bea			 	1
matteo			        1
cvs			 	1
rfmngr			        1
privoxy			        1
user4			 	1
ana			 	1
user1			 	1
prueba			        1
servidor			1
ipbx			 	1
trash			 	1
ftp			 	1
stacy			 	1
a1			 	1
a3			 	1
a2			 	1
lucas			 	1
tomcat			        1
admosfer			1
sg			 	1

Apparition de logins hispaniques. Ça y est, l’Espagne a trouvé mes serveurs!
Un top 10 est classique avec l’apparition de teamspeak en 14e position. Vous constaterez que le mois dernier, les prénoms ont plus été testés que les mois précédents (25 différents quand même). Utiliser son prénom comme login n’est donc pas une bonne idée.

Test (et test1, test2, tests, …) a presque disparu des stats depuis un an. Ça ne doit plus être rentable de tenter de rentrer avec ce login. Par contre, la version espagnoles (prueba) est elle apparue.

Dans le fichier scanresult_janvier fichier complet, vous trouverez aussi le classement par heure des attaques, ainsi que la liste des adresses et ports utilisés.

119 tentatives en janvier, c’est une légère augmentation par rapport à la moyenne (96) mais pas significatif. Les pirates rattrapent t-ils le retard prit pendant les fêtes?

******************************************************************
Nombre de tentatives par plage horaire:
******************************************************************
0-1
1-2
2-3
3-4
4-5
5-6
6-7
7-8
8-9
9-10
10-11	######### (9)
11-12	#### (4)
12-13	################ (16)
13-14	##################### (21)
14-15	############################################# (45)
15-16	############# (13)
16-17	############################### (31)
17-18	###### (6)
18-19	##################################### (37)
19-20	########################### (27)
20-21	########### (11)
21-22	############################### (31)
22-23	######################################## (40)
23-24	################################## (34)

Le matin, c’est assez calme, ça attaque surtout le soir, avec un creux à 17 heures. Ordinateur vérolés du travail éteints avant l’allumage des ordinateurs vérolés des particuliers?
Lorsque j’aurais trouvé le moyen de géolocaliser les adresses, on verra peut être que l’effet est dû à un autre fuseau horaire.
A suivre, donc.

Superviser vos serveurs avec FTPupinfo

Il est toujours pratique d’avoir un oeuil sur les ordinateurs dont on a la charge. Ne serait-ce que pour prévenir avant de guérir. Quand je dis serveurs, c’est tout type de machine linux.

Or, s’il faut se connecter à chacun pour avoir des infos, cela devient vite pénible.

Il existe une pléthore de logiciels dédiés à cet usage. Des simples, comme phpsysinfo, et des poids lourds comme Nagios, zabbix, …

Les logiciels simples peuvent correspondre à un besoin ponctuel, mais manquent souvent des éléments dont on aurait besoin spécifiquement. Les poids lourds du genre sont cauchemardesques à configurer, et c’est souvent sortir le bazooka pour tuer une mouche… Sans compter les failles de sécurités régulières.

J’ai développé un logiciel nommé FTPupinfo destiné, à la base, à mon usage personnel, pour superviser mes serveurs. Puis il a évolué avec le temps pour devenir une application à part entière, située entre les deux catégories dont on a parlé.

Voici un rapide aperçu:

Capture 1

Avantages:

  • Facile à installer (paquet dans les dépôts absolacom)
  • C’est le client qui uploade vers le serveur, pas le serveur qui interroge le client (pas d’ouverture de ports, pas de faille). Pas besoin de se connecter à la machine à surveiller (pas d’ouverture de ports, pas de faille).
  • Paramétrable avec un simple fichier de configuration texte
  • Upload sur le serveur en mode FTP ou rsync (si upload activé, non obligatoire)
  • Copie en local possible des rapports générés
  • Rapide et léger
  • Possibilité d’activer/désactiver chacune des fonctions
  • Personnalisable par skins (que vous pouvez créer/ajouter)
  • Ajout de modules possibles (par exemple pour prendre en charge SNMP)
  • Pensé pour être sécuritaire
  • Possibilité d’exécuter des programmes avant, pendant, après le fonctionnement du logiciel (alertes par mail, nettoyages, …)
  • Possibilité de garder le dernier rapport, un par jour, tous…
  • Le dernier rapport est accessible même si le serveur ne l’est pas
  • Fonctionne sur Debian (et dérivées), Mandriva, Suse (depuis les sources)

Inconvénients:

  • Ne fonctionne pas encore pour Windows (et ce n’est pas une priorité). Fonctionne au strict minimum avec Cygwin avec une version modifiée du programme (contactez moi si vous êtes intéressé).
  • Visualisation en mode décalé. Pas de consultation en direct (le programme est lancé avec une granularité d’une minute).
  • Sans doute Certainement améliorable au niveau du code
  • Disponible uniquement en deb ou en source (si vous voulez packager pour votre distrib, soit vous vous en chargez, soit vous me dites comment faire)
  • Les skins sont moches (si,si. Je sais. Je ne suis pas graphiste, je le reconnais), mais c’est du full CSS (sauf scories) facilement modifiable.¹
  • En anglais pour l’instant (même si c’est peu gênant, le vocabulaire informatique utilisé étant souvent anglais). L’adaptation pour permettre la localisation est en projet.
  • …heu…
Page de statistiques

Page de statistiques

Toutes les infos se trouvent sur le site du projet et vous pouvez voir des exemples sur le site de démo.

Dernière précision, c’est entièrement du GPL gratuit pour la partie cliente (le programme qui tourne sur les ordinateurs). Seule la partie serveur de supervision (optionnelle) est payante.

Il est actuellement utilisé professionnellement par ma société pour superviser les clients, quelques sociétés partenaires et les écoles du département des Pyrénées Orientales équipées de serveurs Eclair (dont j’ai été le développeur initial pour le pôle de compétences de Perpignan) ou Zeli.

Les suggestions, remarques, rapports de bugs sont les bienvenus.

1. message subliminal très subtil 😉 : si vous savez fairedes skins potables, envoyez les moi et je les intègrerais au programme avec vos crédits.

Identifiants déconseillés de Décembre

Voici la liste des identifiants déconseillés pour décembre. Comme ce sont les identifiants utilisés pour tenter d’entrer sur mes serveurs, il est déconseillé de les utiliser sur les votre, sinon vous allez faciliter la tâche aux pirates.

Vous les avez désormais classés par nombre de tentatives.

    Le contenu suivant est généré à partir des fichiers de logs des ordinateurs
    surveillés et permet de consulter les statistiques d'attaques par force
    brute sur ces ordinateurs.
    La liste des identifiants utilisés permet à l'administrateur intelligent
    de ne pas autoriser ces identifiants sur ses serveurs afin de diminuer
    les risques d'attaque.
    Les protocoles surveillés sont ssh et ftp, si ces services sont activés.

    Si votre adresse IP FIXE apparait dans cette liste, vous devriez vérifier
    que votre ordinateur est sain! Si c'est une IP dynamique, elle risque
    d'être déjà blacklistée sur tous mes serveurs et vous devriez en changer...
    Les valeurs représentent la limite basse, les adresses incriminées étant
    blacklistées pour plusieurs mois après un certain nombre d'essais
    infructueux celles ci n'apparaissent plus dans les statistiques.

******************************************************************
       Classement des logins et des adresses utilisés
                 pour le mois de Dec 2009
            pour des tentatives de connexion
         sur les serveurs de la société Absolacom
******************************************************************
******************************************************************
Classement des logins utilisés (77):
******************************************************************
root			126
admin			27
Administrator	        12
staff			11
sales			10
nagios			7
administrator	        7
guest			6
plcmspip		5
postgres		5
ace		        4
recruit			4
office			3
PlcmSpIp		3
mlmb			3
test			3
delta			3
alias			3
test1			2
fluffy			2
administrador	        2
abcs			2
t1na			2
samba			2
daemon			2
account			2
anonymous		2
a		    	2
db2inst1		2
alexis			2
virtuoso		1
demo			1
slim			1
accounts		1
abel			1
ghost			1
agnieszka		1
agarcia			1
dasusr1			1
www-data		1
administration	        1
mysql			1
kent			1
access			1
codec			1
upload			1
agi		    	1
rob		    	1
eff		    	1
slasher			1
hdexperience	        1
advantage		1
ftp			1
nobody			1
vmail			1
eminem			1
administracion	        1
user			1
adnan			1
c		    	1
b		    	1
acd05			1
d		        1
tomcat			1
sifak			1
patrick			1
adriano			1
accounts1		1
ibiza			1
publica			1
admon			1
r00t			1
adrian			1
lpd			1
adminftp		1
lpa			1
agnes			1

Le top 10 est classique avec cependant un net recul de PlcmSpIp et www-data au profit de guest et ace. A noter, de plus en plus de prénoms francophones. Linux se démocratiserait il en France?

Dans le fichier complet, vous trouverez aussi le classement par heure des attaques, ainsi que la liste des adresses et ports utilisés. Il serait intéressant de dresser une carte de l’origine des attaques, par exemple avec geotool, mais je ne sais pas encore comment faire ça automatiquement ou sans saturer le serveur. Si vous avez des idées, je suis preneur (surtout si c’est du python).

Une précision sur le fait qu’il peut sembler y avoir relativement peu de tentatives (77 ce mois ci): une adresse IP blacklistée sur l’un de mes serveurs se retrouve blacklistée sur l’ensemble de mes serveurs au maximum dans l’heure qui suit. Ça m’a permis de passer en un an d’environ 800 tentatives illégales de login à moins de 100 tentées par mois. De quoi simplifier la vie des firewalls.

******************************************************************
Nombre de tentatives par plage horaire:
******************************************************************
0-1
1-2
2-3
3-4
4-5
5-6
6-7
7-8
8-9
9-10
10-11	################### (19)
11-12	########### (11)
12-13	####### (7)
13-14	### (3)
14-15	######### (9)
15-16	######### (9)
16-17	###################### (22)
17-18	############## (14)
18-19	#################### (20)
19-20	##################### (21)
20-21	################################ (32)
21-22	########### (11)
22-23	############# (13)
23-24	##### (5)

Il est intéressant de remarquer que les attaques se font surtout en fin de journée mais, nouveauté de décembre, alors qu’habituellement le pic se situe entre 18 et 20 heures, ce mois ci il est entre 20 et 21 heures. Effet vacances? Nous verrons en janvier si la tendance se confirme.

C’est vrai qu’il reste encore quelques heures pour finir décembre, mais une bonne partie des serveurs va s’arrêter ce soir pour n’être réactivés qu’à la rentrée. Donc, ces statistiques ne sont pas véritablement complètes mais le peu qu’il manque ne serait de toute façon pas représentatif.

Sur ce, je vous souhaite une bonne année 2010 et m’en vais préparer mon réveillon!

Recevoir les logs par mail

Il peut être intéressant de recevoir les logs de vos ordinateurs par mail pour plusieurs raisons:

  • pour penser à les regarder,
  • pour recevoir les logs de vos serveurs,
  • pour garder un historique des logs et pouvoir remonter dans le temps,
  • générer des statistiques à partir des logs sans se connecter aux serveurs (ce qui est utilisé par exemple pour générer la liste des identifiants déconseillés)

Pour cela, je vous propose d’installer un utilitaire en python développé par mes soins.

ATTENTION: ce programme fonctionne pour Hardy et Jaunty. Il n’a pas été développé ou testé sur Karmic mais sera disponible pour toutes les version X.04 d’Ubuntu.

ATTENTION2: ce programme ne peut fonctionner simplement avec Orange. Pour ce FAI, il faut installer postfix et le paramétrer avec l’authentification sasl. Cela fera l’objet d’un prochain article. Pas de problème chez Free, Alice et SFR.

Zeli-sendlog

zeli-sendlog est un programme python qui va créer une archive des logs de l’ordinateur sur lequel il est installé et va automatiquement l’envoyer par mail aux adresses paramétrées.

Une fois installé, ce programme ne nécessite aucun réglage.

Installation

Il vous faut tout d’abord ajouter les miroirs Absolacom à votre fichier de sources tel qu’indiqué sur cette page. Rechargez la liste des paquets et installez le paquet zeli-sendlog et ses dépendances.

Paramétrage

Pour envoyer un mail, il vous faut trois choses:

  1. un serveur SMTP,
  2. une ou plusieurs adresses de destination,
  3. un nom pleinement qualifié afin que vos mails soient acceptés sans être considérés comme du spam.

Serveur SMTP

Il se règle dans le fichier /etc/smtp_server. Vous indiquez simplement le nom ou l’adresse de votre serveur SMTP. Par exemple, pour free, indiquez simplement smtp.free.fr.

Adresses de destination

Les adresses où seront envoyés les mails s’indiquent dans le fichier /etc/mail_secu.txt. Indiquez sur une ligne les adresses séparées par des virgules.

Si vous n’indiquez qu’une seule adresse, inutile d’ajouter une virgule.

Nom FQDN

Votre machine ne peut envoyer des mails que vers un serveur qui l’autorise. Pour cela, il faut qu’elle soit identifiée, et c’est son nom d’expéditeur qui est utilisé.

Si vous possédez un nom de domaine, éditez le fichier /etc/mailname et indiquez le nom de votre ordinateur ainsi: machine.mondomaine.org.

Identifiez correctement votre ordinateur, ce nom apparaît dans les courriers qui vous sont envoyés et vous permettront de vous y retrouver si vous recevez les logs de plusieurs serveurs.

Lancement en console

Vous pouvez lancer manuellement le programme pour envoyer les logs immédiatement ou pour vérifier son fonctionnement. En cas de problème, celui ci vous est affiché (en anglais) et vous permettra de rechercher une solution.

Dans un terminal, entrez: sudo sendlog

(le programme doit être lancé en root pour pouvoir accéder aux fichiers de log)

Programmation

A l’installation, le programme a paramétré le cron de root afin de lancer l’envoi de mail tous les jours à minuit. Pas avant, sinon il vous manquerait du contenu dans les logs du jour, pas après, sinon ce serait les logs du lendemain.

Faites quelques essais, mais n’envoyez pas beaucoup de mails en peu de temps, cela risquerait de vous faire mettre en quarantaine par votre FAI.

Une fois le logiciel paramétré, il n’y a plus à y toucher.

Servez vous, c’est GPL!

Installer un serveur LAMP avec Ubuntu

Un serveur LAMP signifie Linux Apache Mysql Php. Il est possible d’installer et configurer chacun des services manuellement, mais il existe une autre façon plus simple et moins connue de faire tout ceci en une seule fois.

Dans un terminal, entrez ceci:

sudo tasksel install lamp-server

Et c’est tout!

Ou alors:

sudo tasksel

tasksel

Et sélectionnez LAMP server, ou tout autre service que vous désirez installer.

Résoudre Error: no « view » mailcap rules found for type « application/octet-stream »

Depuis ubuntu 7.10, le paquet xdg-utils qui offre le programme xdg-open a un bug qui ne lui permet plus de lancer les applications.

Le programme sort avec une erreur de ce type:

Warning: unknown mime-type for "/var/log/messages" -- using "application/octet-stream"
Error: no "view" mailcap rules found for type "application/octet-stream"

Pour retrouver un fonctionnement normal dans Jaunty et Karmic, il faut éditer le fichier /usr/bin/xdg-open et aller vers la ligne 383 et 384 pour commenter les lignes comme ci dessous.

 	if [ $? -eq 0 ]; then
 	    exit_success
#	else
#	    exit_failure_operation_failed
 	fi
     fi

Sauvegardez, et vous pourrez à nouveau profiter des programmes tels que GnomeDo et de tous ceux qui utilisent xdg-open.

Supprimer Bluebirds.exe des lecteurs LG

Les Oiseaux bleus attaquent!

Merci LG!

Pour un coup d’essai, c’est raté. Vouloir se lancer dans le logiciel quand on n’a pas l’expérience et  imposer SON logiciel de gravure à ses utilisateurs, pour une bourde, je considère que c’en est une.bluebirds

Quand vous achetez un lecteur/graveur LG Super Multi DVD rewriter modèle GH22NS50 ou GH22LS50, vous avez la surprise de voir votre système d’exploitation vous indiquer que vous avez un disque nommé Bluebirds dans le lecteur.

Et quand vous ouvrez le lecteur…Pas de disque! Rien! Et Bluebirds disparait bien du bureau.

Si vous introduisez un disque, il affiche bien le disque correct, mais sans disque…Bluebirds!

En fait, la ROM du lecteur se fait passer pour un disque. Vous pouvez l’explorer et vous y trouverez autorun.inf, BlueBirds.exe, Drag&Burn.exe et Setup.exe

Ces exécutables sont la « added feature »¹ fournie par LG pour vous « offrir » leur logiciel de gravure. Alors que le graveur est fourni avec un CD comprenant Nero ou les LG burning tools et les LG power tools…

Alors, ce qui est intelligemment réfléchi, c’est qu’avec Windows ou Linux, et j’imagine que c’est pareil avec Mac, vous avez en permanence un volume monté sur le bureau. Ou vous avez en permanence le lecteur ouvert…

Heureusement, Grâce soit rendue à LG, ils nous ont fourni un utilitaire pour flasher la ROM et supprimer cet oiseau bleu. Et vous pourrez le trouver ici (Onglet « Drivers and Softwares »). Et, bien sûr, l’utilitaire fourni ne fonctionne que sous Windows.

Ycompris avec windows

Ycompris avec windows

Encore une fois, merci LG!

Bon, comment faire pour s’en débarasser ? 3 Solutions:

  1. – Installer le lecteur sur une machine avec Windows (32 bit seulement, en 64 ça ne fonctionnera pas) et utiliser leur outil de désinstallation ²
  2. – Essayer avec VirtualBox pour tenter le flashage
  3. – Modifier le fonctionnement de HAL pour faire disparaitre ce satané Bluebird

Bien sûr, ne possédant plus de Windows depuis plusieurs années, c’est la dernière méthode que je vous livre ici.

Supprimer Bluebirds.exe

Créez un nouveau fichier texte sur le bureau que vous nommerez eradicate_bluebirds.fdi et copiez y ceci:

<?xml version="1.0" encoding="UTF-8"?> <!-- -*- SGML -*- -->

<deviceinfo version="0.2">

<device>
<match key="volume.label" string="Bluebirds">
<merge key="volume.ignore" type="bool">true</merge>
</match>
</device>

</deviceinfo>

Faites attention à la casse du nom. En effet, cela ne fonctionnera pas si vous ne mettez pas la majuscule puisque le disque ne sera pas identifié de la même façon que vous le signalez dans le fichier.

Ensuite, en console, tapez les lignes suivantes:

sudo mv ~/Desktop/eradicate_bluebirds.fdi /etc/hal/fdi/policy
sudo /etc/init.d/hal restart

Vous n’êtes même pas obligé de redémarrer votre ordinateur (mais vous pouvez le faire si vous le désirez). Si l’icone est encore visible sur votre bureau, il vous suffit de faire un clic droit dessus et de démonter le volume. Ce sera suffisant.

Ceci ne supprime pas le problème du lecteur qui s’identifie comme le disque Bluebirds. Cela va simplement faire en sorte que le système ignore tout disque qui se nommerait Bluebirds. Vous n’aurez ainsi plus le disque en permanence monté et visible sur le bureau.

Attention, en cas de réinstallation, il faudra recommencer…

Mise à jour du 22 Aout:

Il semblerait que l’outil fourni ne fonctionne pas avec les lecteurs OEM. Merci LG!
Du coup, il est possible de faire disparaitre Bluebirds quand on est sous linux, mais pas sous Windows.


1 - Fonction apportant un plus. Ce qui justifierait l'achat de CE lecteur plutôt qu'un autre. Quand je disais que c'était raté.
2 - Si vous arrivez à le télécharger, le site de LG étant très anti-ergonomique et utilise des ActiveX, donc, accessible seulement avec IE...

Lire les mails de cron avec son lecteur de messagerie

Vous pouvez simplement lire vos mails système avec votre lecteur de messagerie, après quelques manipulations.

Explications sur le fonctionnement:

Si les opérations effectuées avec le crontab de root renvoient des informations, cron les envoie par mail à l’utilisateur root.

Root n’étant pas sensé se connecter, ces mails sont transférés à un des utilisateurs du système. Par défaut, il s’agit de l’utilisateur que vous avrez créé lors de l’installation système, mais vous pouvez le changer en modifiant le contenu du fichier /etc/aliases:

# Added by installer for initial user
root:	manu

Dans ce cas, c’est l’utilisateur manu qui va hériter des mails système à destination de root.

Attention: sur certaines versions, et en particulier la Jaunty 9.04, le fichier ne contient pas le nom d’utilisateur. Tout est renvoyé à root, mais root ne renvoie vers personne:

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
clamav: root
root: manu

Il suffira d’ajouter « root: manu » tel que ci dessus pour que l’utilisateur manu accède aux mails système.

Ces mails sont lisibles en console par l’intermédiaire, par exemple, de la commande mail (disponible dans le paquet mailutils). Mais il faut reconnaître qu’il serait plus pratique de les avoir dans le lecteur de messagerie même, puisque celui ci est ouvert régulièrement.
La méthode ci dessous n’est utile et exacte que si vous n’installez pas de serveur imap ou pop sur cette machine même pour y lire les mails (par défaut, dans 99,9% des cas).

Paramétrage du client de messagerie

La méthode est donnée ici pour Mozilla-Thunderbird, mais il est simple de l’adapter pour un autre lecteur de messagerie installée sur le système capable de lire le format Movemail¹ (testé avec Evolution et mutt).

  • Ouvrez votre lecteur de messagerie.
  • Si c’est la première ouverture, il vous est proposé de créer un nouveau compte. Dans le cas contraire, rendez vous dans le menu Edition / Paramètres des comptes … puis cliquez sur Ajouter un compte.
  • Dans le paramétrage d’un nouveau compte, sélectionnez Unix Mailspool (Movemail), puis cliquez sur suivant.
  • Sélection du type de compte

    Sélection du type de compte

  • Dans la fenêtre Identité, indiquez votre nom d’utilisateur (normalement déjà rempli). L’adresse de courrier n’a que peu d’importance (vous n’enverrez pas de courrier depuis ce compte), elle servira principalement à identifier ce compte dans la liste des comptes paramétrés.
  • S’il vous est demandé un serveur smtp, vous pouvez indiquer celui de votre FAI (souvent de la forme smtp.fai.fr). Si vous aviez déjà des comptes, le serveur smtp que vous aviez précédemment indiqué sera utilisé. Si votre ordinateur n’est pas connecté à internet ou n’envoie pas de mails par l’intermédiaire du lecteur de messagerie, vous pouvez mettre seulement « smtp » pour que la configuration puisse être finalisée.
  • Indiquez le nom du compte tel que vous désirez qu’il apparaisse dans la liste si la proposition ne vous convient pas.
  • Cliquez sur Terminer à l’affichage du résumé.

Il suffit désormais de relever le courrier pour pouvoir lire normalement les mails système et surveiller le fonctionnement de l’ordinateur.

Limitations

  • Les mails ne peuvent être lus QUE depuis la machine sur laquelle ils se trouvent. Pour les récupérer d’une autre machine, il faudra installer un serveur POP ou IMAP afin que le lecteur de messagerie de l’ordinateur client puisse accéder à ces mails. Cela fera l’objet d’un prochain article.
  • Il est possible d’envoyer les mails sur une autre adresse en indiquant l’adresse de destination pour l’alias du root dans le fichier /etc/aliases ainsi: root: manu@fai.fr. Cela oblige, par contre, l’ordinateur à posséder un système d’envoi de mails externes, tel que postfix ou exim4, paramétré correctement. Lorsque ce n’est pas nécessaire (si l’ordinateur est sur un réseau que je contrôle), je préfère éviter d’avoir un système d’envoi de mails que je serais obligé de maintenir et contrôler. En particulier si un logiciel s’affole et envoie plusieurs centaines de messages au système en quelques minutes (vécu), le risque de passer pour spammeur est grand!

Messages d’erreur

Impossible de localiser le fichier de spool du courrier

Impossible de localiser le fichier de spool du courrier

Ce message vous indique que le fichier /var/spool/mail/user n’existe pas. Il peut ne pas exister pour 2 raisons principales:²

  • L’utilisateur n’est pas déclaré comme devant recevoir les messages de root dans le fichier /etc/aliases
  • Aucun mail n’a été envoyé par le système, donc il n’y a pas de fichier contenant les mails…
Impossible de créer les verrours

Impossible de créer les verrours

Ce message vous informe que les droits ne sont pas corrects. Dans une console, la commande sudo chroot 01777 /var/spool/mail résoudra le problème.

¹ Opera mail ne semble pas pouvoir être utilisé pour accéder à ce type de compte mail.

² Assurez vous que la partition /var est montée, accessible à l’utilisateur, droits corrects, etc…

Modifier un fichier PPD

Il est parfois nécessaire de pouvoir modifier un driver d’imprimante pour ajuster son comportement. Ayant eu à le faire récemment, je vous livre mes observations pour vous éviter mes galères:

  • Le fichier utilisé pour contrôler l’imprimante se trouve dans /etc/cups/ppd
  • Il porte le nom que vous avez donné à l’imprimante lors de son installation (exemple: copieur.ppd si vous avez nommé votre imprimante copieur)
  • Lors de l’installation, ou en passant par le gestionnaire des imprimante (Système /Administration/ Impression ou system-config-printer), les options sélectionnées (bacs, format, couleur/gris, …) sont directement écrites dans le fichier ppd de l’imprimante
  • Après modification manuelle du fichier ppd, vous devez redémarrer cups (/etc/init.d/cupsys restart)
  • En cas d’erreur de syntaxe dans le fichier ppd, l’onglet correspondant à la section n’apparaît plus dans les options lors de l’impression
  • Si la commande est trop longue pour tenir sur une seule ligne, le reste de la commande est sur la ligne suivante, et la ligne suivante doit comporter *End pour clore la commande.
  • exemple:
    *OpenUI *Fold/Pliage: PickOne
    *OrderDependency: 3 AnySetup *Fold
    *DefaultFold: None
    *Fold None/Non:  "&lt;&lt; /FoldType (Off) &gt;&gt; /KMOptions /ProcSet findresource /setKMoptions get exec"
    *Fold Stitch/Pliage et Agrafage centre:  "&lt;&lt; /Collate true &gt;&gt; setpagedevice
     &lt;&lt; /FoldType (CenterFoldIn) /StitchType true &gt;&gt; /KMOptions /ProcSet findresource /setKMoptions get exec"
    *End
    *Fold HalfFold/Pliage en deux:  "&lt;&lt; /Collate true &gt;&gt; setpagedevice
     &lt;&lt; /FoldType (CenterFoldIn) /StitchType false &gt;&gt; /KMOptions /ProcSet findresource /setKMoptions get exec"
    *End
    *Fold Stapling/Agrafage au milieu:  "&lt;&lt; /Collate true &gt;&gt; setpagedevice
     &lt;&lt; /Finish 1 &gt;&gt; /KMOptions /ProcSet findresource /setKMoptions get exec"
    *End
    *CloseUI: *Fold
  • Pour commenter une ligne, elle doit commencer par *%. Pour commenter une commande sur 2 lignes,  supprimer le saut de ligne et commenter la ligne.
  • Faire attention au codage du fichier (en particulier pour les accents dans les labels). Un mauvais codage et le ppd ne fonctionne plus! Il est normalement (si le ppd est bien écrit) déclaré en haut de fichier:*LanguageVersion: French et *LanguageEncoding: ISOLatin1
  • Toujours avoir une copie du ppd avant de le modifier. En cas d’erreur, il est parfois plus facile de tout recommencer au lieu de chercher quel caractère pose problème.
  • Éditez le code en root avec un éditeur de textes. Après enregistrement de vos modification, vous pourrez tester immédiatement un lancement d’impression pour aller vérifier les options que vous avez modifié.
  • Avancez étape par étape. En cas de problème, vous saurez que cela vient de votre dernière modification.

Grâce à cela, j’ai supprimé (mis en commentaire) les options qui apparaissaient dans les onglet lors de l’impression et qui perturbaient mes utilisateurs. J’ai aussi changé des labels pour les rendre plus explicites (1 face -> Recto, 2 Faces -> Recto Verso).

Une fois le ppd modifié et paramétré avec les options voulues par défaut, il suffit de le copier dans le dossier /etc/cups/ppd de chaque ordinateur en ayant besoin sous le nom de l’imprimante paramétrée et de relancer cups.

Identifier son système sous linux

Lorsque l’on doit faire une mise à jour du bios de son ordinateur, il est plus rassurant (et plus fiable) d’avoir le maximum d’informations sur son matériel.

Avec Debian/Ubuntu, vous pouvez obtenir ces informations facilement en installant le paquet libsmbios-bin et en utilisant la commande getSystemId (via sudo!)

exemples:

pour mon Aspire One (jaunty)

Libsmbios version:      2.2.13
Product Name:           AOA150
Vendor:                 Acer
Version du BIOS:        v0.3114
System ID:              0x0000
Service Tag:            xxxxxxxxxxxxxxxxxxxxx
Express Service Code:   xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Asset Tag:
Property Ownership Tag:

Pour mon Fujitsu Amilo (hardy):

Libsmbios:    0.13.10
Error getting the System ID   :
Error getting the Service Tag : std::exception
Product Name: AMILO Xa 2528
BIOS Version: 1.0L-4C15-000F
Vendor:       FUJITSU SIEMENS
Is Dell:      0

Un serveur Web (hardy):

Libsmbios:    0.13.10
Error getting the System ID   :
Error getting the Service Tag : std::exception
Product Name: EPIA
BIOS Version: 6.00 PG
Vendor:       VIA TECHNOLOGIES, INC.
Is Dell:      0

Une VirtualBox (jaunty):

Libsmbios version:      2.2.13
Product Name:           VirtualBox
Vendor:                 innotek GmbH
Version du BIOS:        VirtualBox
System ID:              0x0000
Service Tag:            0
Express Service Code:   0
Asset Tag:
Property Ownership Tag:

Pour les développeurs python, vous noterez que ça vous installe d’office python-libsmbios. Je vous laisse imaginer tous les usages possibles pour vos applications.

CIFS VFS: Server not responding

Sur l’une de mes machines avec Ubuntu Hardy 8.04 (mais d’après google, cela se produit aussi avec d’autres versions), à l’arrêt et au redémarrage, l’ordinateur mettait plusieurs minutes à s’arrêter ou redémarrer et affichait le message suivant:


CIFS VFS: Server not responding
CIFS VFS: no response for cmd 50 mid xxx

(avec xxx étant des chiffre variables).

Pourtant, avant la réinstallation avec le même CD, aucun problème à déplorer. Pas plus que sur les 5 autres postes installés avec le même CD et toutes les mises à jour effectuées.

Il semblerait que les démontages des partages SAMBA et NFS ne s’effectuent pas correctement.

La solution, fonctionnelle pour moi, a été de modifier les scripts à l’arrêt et au redémarrage de l’ordinateur, soit:

sudo mv /etc/rc0.d/S31umountnfs /etc/rc0.d/K31umountnfs
sudo mv /etc/rc6.d/S31umountnfs /etc/rc6.d/K31umountnfs

Pourquoi par défaut, lors de l’arrêt, ces scripts sont en position start ? D’autant que le start, dans le code, n’effectue absolument rien, mais le stop effectue bien les démontages! Mystère…

Recevoir le log de rkhunter

Par défaut, rkhunter envoi un compte rendu succint lors de son lancement automatique.

Avouez qu’il serait quand même plus pratique de recevoir le log au lieu d’une simple phrase « Please inspect this machine, because it may be infected. ».

Heureusement, il est possible de modifier simplement ce comportement.

En root, éditez le fichier /etc/cron.daily/rkhunter.

Modifiez la ligne:

...
/usr/bin/nice -n $NICE $RKHUNTER --cronjob --report-warnings-only \
--createlogfile /var/log/rkhunter.log $RK_OPT &gt; $OUTFILE
...

pour qu’elle ressemble à celle ci

...
/usr/bin/nice -n $NICE $RKHUNTER --cronjob --report-warnings-only \
--createlogfile /var/log/rkhunter.log --display-logfile $RK_OPT &gt; $OUTFILE
...

Au prochain lancement automatique, si vous avez paramétré rkhunter pour qu’il vous envoie un mail, vous recevrez en plus le log du scan.

rkhunter et unhide

Unhide est un utilitaire permettant de lister les processus actifs cachés. C’est un outil qui vous permet de trouver d’éventuels rootkits installés sur votre système.

S’il n’est pas installé par défaut sur votre distribution, installez le de manière classique.

Si vous utilisez rkhunter pour scanner votre machine, sans opération particulière vous aurez deux problèmes:

  1. rkhunter n’utilisera pas par défaut unhide, et vous perdrez donc le bénéfice d’un seul scan.
  2. rkhunter va détecter un warning sur unhide et unhide-linux26, ce qui vous enverra un mail à chaque détection.

La solution est simple: il suffit d’indiquer à rkhunter que unhide est fiable, en l’ajoutant à sa base de donnée. Ensuite, rkhunter utilisera unhide automatiquement.

ATTENTION: n’utilisez la commande suivante QUE SI VOUS ÊTES SÛR de votre système ! En effet, cette commande va réinitialiser la base de données des programmes considérés comme sûrs par rkhunter. Si vous avez un rootkit ou des programmes cachés, ils ne seront plus détectés!

Il est conseillé de lancer un rkhunter -c et de vérifier le rapport avant de lancer la commande suivante.

Maintenant que vous êtes prévenus, voici la commande magique (en root ou avec sudo):

rkhunter --propupd

C’est tout. La prochaine fois que rkhunter sera lancé, manuellement ou par la programmation, unhide sera détecté et utilisé.

Changer les applications par défaut dans Gnome

Lorsque vous introduisez pour la première fois un CD audio dans votre lecteur, Gnome vous demande avec quelle application l’ouvrir. Vous pouvez même lui demander, en cochant la case,  de s’en souvenir pour la prochaine fois.

application-par-defaut

application-par-defaut

Mais si vous désirez changer d’application, comment faut il faire ? Encore une fois, avec le libre, c’est simple si vous savez où aller chercher l’information.

La liste des associations entre les type de fichiers et les applications à lancer se trouvent dans le fichier ~/.local/share/applications/mimeapps.list (ces dossiers et fichiers ne sont présents qu’une fois que vous avez créé au moins une association)

Ce fichier se compose ainsi:

[Added Associations]
x-content/audio-cdda=vlc.desktop;

Si je désire changer l’application associée aux fichiers audio CD, il me suffit de modifier le fichier pour lui donner le nom du lanceur de l’application voulue.

Voici un autre exemple de fichier sur un ordinateur utilisé quotidiennement:

[Added Associations]
application/x-shellscript=userapp-kwrite-MEM3AU.desktop;gedit.desktop;
application/x-extension-inf=gedit.desktop;
application/x-designer=userapp-designer-qt4-YG48AU.desktop;
text/x-python=userapp-wing-101-3.1-NFH9NU.desktop;userapp-wing-101-3.1-SGDVNU.desktop;gedit.desktop;userapp-python-CDV5AU.desktop;
video/x-mng=gimp.desktop;
image/svg+xml=inkscape.desktop;
audio/x-vorbis+ogg=userapp-audacity-ENNGCU.desktop;
image/x-ico=gimp.desktop;
application/x-executable=userapp-wine-HQHEDU.desktop;userapp-bash-V6E5CU.desktop;
application/msword=ooo-writer.desktop;kwrite.desktop;gedit.desktop;
application/pdf=userapp-kpdf-8V7VLU.desktop;evince.desktop;gimp.desktop;
application/x-cd-image=userapp-vlc-Z4WYDU.desktop;
application/x-extension-2008=eog.desktop;
application/octet-stream=eog.desktop;
application/x-dia-diagram=dia-common.desktop;
application/x-extension-dat=gedit.desktop;
application/x-extension-QCM=ooo-template.desktop;
text/html=firefox.desktop;geany.desktop;
text/css=geany.desktop;
image/x-xcf=
image/png=eog.desktop;
text/x-gettext-translation=poedit.desktop;userapp-poedit-8NECLU.desktop;
application/x-flash-video=vlc.desktop;totem.desktop;
 
[Removed Associations]
application/x-shellscript=ooo-writer.desktop;wine.desktop;userapp-wine-HQHEDU.desktop;userapp-kwrite-3738AU.desktop;kde-kate.desktop;kde-kwrite.desktop;
text/x-python=ooo-writer.desktop;wine.desktop;userapp-wine-HQHEDU.desktop;userapp-eclipse-0HNYBU.desktop;
application/x-dia-diagram=opera.desktop;firefox.desktop;thunderbird.desktop;kde-kfmclient_html.desktop;geany.desktop;gedit.desktop;
image/x-xcf=userapp-inkscape-0BW2KU.desktop;
image/png=inkscape.desktop;
text/html=kwrite.desktop;ooo-writer.desktop;thunderbird.desktop;

Vous pouvez noter qu’on peut associer plusieurs applications à un type de fichier: ce seront les applications lancées si vous double cliquez sur un fichier. Si la première n’est pas trouvée, la deuxième sera lancée, et ainsi de suite.

Cette liste d’applications est celle que vous pouvez voir si vous faites un clic droit sur un fichier, que vous choisissez Propriétés et que vous allez dans l’onglet Ouvrir avec.

liste-des-applications-pour-html

liste-des-applications-pour-html

Si vous supprimez une des applications de la liste proposée (en cliquant sur le bouton Enlever de cette fenêtre), cette suppression d’association sera notée dans la liste [Removed Associations] du fichier  ~/.local/share/applications/mimeapps.list. Par exemple, nous voyons dans le fichier ci dessus (ligne 31) que les images au format png ne doivent pas être ouvertes avec le logiciel inskape.

Changer un mot de passe Windows sans le connaitre

Il arrive qu’on doive accéder à un ordinateur Windows mais qu’on ne connaisse pas le mot de passe ou qu’on l’ait oublié… Dans mon cas, j’utilise tellement peu le serveur de test que le mot de passe m’est sorti de l’esprit.

Heureusement, il est possible de le modifier sans avoir à tout réinstaller!

De plus, l’aide nous vient de GNU/linux et des outils libres par ntpasswd (par l’intermédiaire de ntfs-3g et busybox)

Il suffit de graver l’iso et de démarrer l’ordinateur sur le CD pour obtenir un prompt de style MSDOS, de sélectionner la partition d’installation de windows.

Ensuite, il faut préciser le chemin d’accès à la base de registre (\windows\system32\config pour XP) et presser Enter. Puis choix 1 Edit user data and password.

Entrez l’utilisateur dont vous voulez modifier le mot de passe et saisissez le nouveau mot de passe.

Vous pouvez modifier tous les comptes de la machine, administrateur compris. Sortez et validez par Y pour enregistrer les modification, puis redémarrez normalement.

Un outil pratique qui nous rapelle qu’un système d’exploitation protégé par mot de passe ne l’est (protégé) QUE si l’ordinateur qui le fait tourner est sécurisé (mot de passe au BIOS, démarrage sur le disque dur en premier, boitier de ordinateur fermé à clef et ordinateur inaccessible), sinon, n’importe qui pourrait modifier votre mot de passe et vous empêcher d’avoir accès à vos données.

Dans mon cas, c’est une réinstallation complète de windows qui m’a été évitée, et ça, ça n’a pas de prix!

Note: cet outil permettant d’accéder à la base de registre, il est possible de faire bien d’autres choses que de modifier le mot de passe (ajout/modification/suppression de clefs). Pratique pour supprimer cet antivirus nommé comme une bonne marque de moto et qu’il est difficile (voire pénible) de supprimer correstement pour mettre un bon anti virus.

Identification SSH sans mot de passe

Pour utiliser SSH (et dérivés tels que sftp) sans mot de passe, il faut ajouter votre clef sur le serveur. Nous aurons donc un ordinateur (manu-desktop) qui pourra se connecter à un serveur (server) par ssh sans avoir besoin de spécifier de mot de passe.

Notez qu’il existe des outils graphiques pour réaliser ces opérations (par exemple seahorse sous Gnome), mais je n’en parlerais pas.

Sur l’ordinateur client (manu-desktop)

La première chose à faire, si vous n’avez pas de clef pour votre machine, est d’en générer une

manu@manu-desktop:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/manu/.ssh/id_rsa):
Created directory '/home/manu/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/manu/.ssh/id_rsa.
Your public key has been saved in /home/manu/.ssh/id_rsa.pub.
The key fingerprint is:
cd:9e:bb:0a:1e:22:29:fa:e3:dc:12:72:8a:15:13:58 manu@manu-desktop
manu@manu-desktop:~$ ls -l ~/.ssh
total 8,0K
3367418 -rw------- 1 manu manu 1,7K 2009-01-15 13:26 id_rsa
3367419 -rw-r--r-- 1 manu manu  399 2009-01-15 13:26 id_rsa.pub
manu@manu-desktop:~$

Ne mettez pas de passphrase et laisser les options par défaut pour la création de la clef. Il est aussi possible de spécifier les options via la ligne de commande:

ssh-keygen -qt rsa -b 1024 -C manu -f ~/.ssh/manu@manu-desktop.rsa -N ""

La commande précédente crée une clef rsa (-t) avec le commentaire (-C) manu d’une longueur de 1024 bits (-b) dans le fichier ~/.ssh/manu@manu-desktop.rsa (-f) avec une passphrase (-N) vide.

Sur le serveur (server)

Le compte utilisateur de connexion doit exister. Il n’est pas obligé que ce soit le même identifiant que sur le client. Par exemple, sur le serveur, mon compte est nommé zephir.

[root@server]:# adduser zephir
Ajout de l'utilisateur « zephir »...
Ajout du nouveau groupe « zephir » (1002)...
Ajout du nouvel utilisateur « zephir » (1002) avec le groupe « zephir »...
Création du répertoire personnel « /home/zephir »...
Copie des fichiers depuis « /etc/skel »...
Entrez le nouveau mot de passe UNIX :
Retapez le nouveau mot de passe UNIX :
passwd : le mot de passe a été mis à jour avec succès
Modification des informations relatives à l'utilisateur zephir
Entrez la nouvelle valeur ou « Entrée » pour conserver la valeur proposée
Nom complet []:
N° de bureau []:
Téléphone professionnel []:
Téléphone personnel []:
Autre []:
Ces informations sont-elles correctes ? [o/N] o
[root@server]:#

Sur l’ordinateur client (manu-desktop), fin des opérations

Il ne reste plus au client qu’à envoyer sa clef d’identification au serveur simplement par la commande suivante:

ssh-copy-id -i ~/.ssh/id_rsa.pub zephir@server

Acceptez l’identification du serveur, le mot de passe est demandé (puisque vous n’avez pas encore envoyé la clef) et la clef est copiée dans le fichier /home/zephir/.ssh/authorized_keys.
Tentez la commande suivante (Ctrl+D pour sortir)

ssh zephir@server

Vous ne devriez plus avoir de demande de mot de passe.

Sur le serveur, fin des opérations

Il est possible de sécuriser le serveur afin de n’accepter que les authentifications avec clef et sans demande de mot de passe (pour ssh. L’accès en local demandera toujours un mot de passe).
Ainsi, les tentatives d’attaque par force brute sont vouées à l’échec. MAIS, soyez conscient que vous ne pourrez plus vous connecter depuis une autre machine que celle pour laquelle vous avez envoyé la clef, pas plus que vous ne pourrez envoyer d’autres clefs.
Paramétrez le fichier /etc/ssh/sshd_config tel que ci dessous:

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys
 
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Relancez ensuite le serveur ssh pour prendre en compte les modifications.

Note sur la sécurité

L’accès au serveur est possible sans authentification par l’utilisateur manu depuis l’ordinateur client (manu-desktop). Si cet ordinateur est un portable et qu’il se fait voler, celui qui arrivera à se connecter avec l’identité de manu arrivera sans demande de mot de passe à se connecter au serveur !
Réfléchissez bien à l’utilisation de ce mode de fonctionnement avant de le mettre en place.
En cas de vol, il suffira de supprimer le fichier /home/zephir/.ssh/authorized_keys pour que la clef volée avec le portable ne soit plus opérationnelle.
Vous pouvez, de même, recréer et changer vos clefs d’identification lorsque vous le voulez en réutilisant les commandes données en début d’article.

Liens:

http://doc.ubuntu-fr.org/gnupg
http://doc.ubuntu-fr.org/ssh

Installer firefox 3 sur Acer Aspire One (linpus)

Limpus pose quelques problèmes pour installer Firefox3 à la place de Firefox2, mais on peut y arriver.

D’autres méthodes (qui n’ont pas fonctionné pour moi) se trouvent sur le net, mais ma connaissance limitée du système de Yum m’a fait chercher une autre solution.

Téléchargez le paquet suivant: firefox-3.0.1

Par défaut, il va aller se mettre dans votre répertoire Downloads.

Ouvrez un terminal (Alt+F2, terminal, validez), puis tapez le code suivant:

  • cd Downloads
  • sudo tar jvfx firefox-3.0.1.tar.bz2 –directory /opt ( /!\ ce sont 2 tirets devant le mot directory)
  • sudo chown -R user /opt/firefox (on donne les droits à l’utilisateur sur ce dossier)
  • sudo ln -s /usr/lib/mozilla/plugins/* /opt/firefox/plugins (on lie les plugins installés de FF2 pour FF3)
  • cd /usr/bin
  • sudo mv firefox xfirefox (on renomme l’ancien lanceur de firefox en autre chose)
  • sudo ln -s /opt/firefox/firefox firefox (on recrée un lanceur vers la version 3 de firefox, ce qui permet de ne pas avoir à toucher les menus)

Fermez toutes les fenêtres de firefox, puis lancez le de manière habituelle.

Allez ensuite dans « Aide », « Rechercher des mises à jour » et mettez firefox à jour. Vous avez ainsi la dernière version.

MAJ du 17/08/2009:

Certaines personnes ont eu des problèmes pour lancer firefox après installation mais n’ont pas répondu à mes questions pour me permettre de trouver le problème.
Mais si vous n’arrivez plus à lancer firefox, rien n’est perdu:
Vous pouvez lancer l’ancien firefox: après ALT + F2, entrez xfirefox pour lancer l’ancien firefox.

Vous pouvez aussi remettre l’ancien firefox en place pour y accéder depuis les lanceurs:

dans un terminal:

  • sudo rm -f /usr/bin/firefox
  • sudo mv /usr/bin/xfirefox /usr/bin/firefox (on remet l’ancien firefox à sa place)
  • Ensuite, rien n’empêche de recommencer les opérations quand vous saurez pourquoi ça n’a pas marché du premier coup.

    Augmenter les résolutions disponibles

    pour m’éviter de chercher et l’avoir une fois pour toutes noté quelque part:

    Section "Monitor"
    Identifier      "Configured Monitor"
    HorizSync       30.0 - 83.0
    VertRefresh     55.0 - 75.0
    
    EndSection

    et

    Section "Screen"
    Identifier      "Default Screen"
    Monitor         "Configured Monitor"
    Device          "Configured Video Device"
    DefaultDepth    24
    SubSection "Display"
    Depth        24
    Modes        "1024x768" "960x600" "800x600"
    EndSubSection

    Ceci permet d’indiquer au serveur X qu’il peut sortir du mode sécurisé des dimensions 640×480 et 800×600 pour monter en fréquence vers des dimensions supérieures.

    Plus d’options lors de la capture d’écran sous gnome

    Rédaction pour gnome 2.22.3

    Si vous appuyez sur la touche impr, vous aurez une fenêtre  avec une capture d’écran immédiate vous demandant où sauvegarder la capture.

    Par contre, si vous allez dans Applications/Accessoires/Capture d’écran, vous aurez accès à plus d’options (capturer l’ensemble du bureau ou la fenêtre active, un délai avant capture vous permettant d’effectuer des opérations comme l’affichage de menus pour la capture, et la possibilité d’appliquer des effets)

    Mais vous voudriez peut être accéder à cette fenêtre directement en appuyant sur la touche impr ?

    Suivez les indications suivantes:

    • Ouvrez un terminal (ou lancez la commande par Alt+F2) et entrez la commande gconf-editor. Validez
    • Dans la colonne de gauche, naviguez jusqu’à apps/metacity/keybinding_commands
    • Dans la fenêtre de droite, trouvez la ligne command-screenshot
    • Double cliquez  sur cette ligne et modifiez la commande en rajoutant « -i » de façon à obtenir « gnome-screenshot -i« 
    • Validez, fermez, la modification est immédiate et vous pouvez la tester immédiatement en appuyant sur la touche impr

    L’opération inverse (enlever le « -i« ) supprime la modification

    Répondre une seule fois aux questions d’installation des paquets

    Lorsque vous avez à installer plusieurs machines identiquement, vous allez répondre à chaque fois aux questions d’installation de tous les paquets.

    Quand on a configuré une machine, il est possible de transférer toutes les réponses d’installations.

    Installez debconf-utils sur tous les ordinateurs.

    Sur la machine installée:

    debconf-get-selections > /tmp/reponses.txt

    Copiez le fichier reponses.txt sur un support ou par le réseau sur la machine à installer.

    Sur la machine à installer:

    debconf-set-selections -c  /media/reponses.txt # option -c pour tester le fichier

    debconf-set-selections   /media/reponses.txt # installation des réponses dans la base de debconf /var/cache/debconf/config.dat

    C’est utile pour les sauvegardes/restaurations rapides, pour installer rapidement plusieurs ordinateurs, pour reparamétrer en ligne de commande un logiciel, …

     Rappel:

    Pour sauvegarder la liste des programmes installés: dpkg –get-selections > /tmp/listprog.txt

    Pour installer l’ensemble des logiciels sur la seconde machine: dpkg –set-selections < /media/listprog.txt