Supprimer la demande de confirmation à la sortie de gnome

Ubuntu 10.04 mais devrait être compatible toutes versions

Lorsque vous voulez fermer votre session, que ce soit pour changer d’utilisateur, éteindre ou redémarrer, vous avez une demande de confirmation.
Or, parfois, surtout pour des questions de rapidité, cette confirmation peut être gênante. Il m’est arrivé de partir en laissant le poste sur la confirmation alors que dans mon esprit ma session était fermée, puisque je demandais explicitement la fermeture. Mais j’étais parti avant de voir la demande de confirmation.

Sur mon portable, comme je ne veux pas attendre son redémarrage si j’ai demandé l’arrêt et que je me rends compte ensuite (c’est courant) que j’aurais dû regarder les mails ou un tarif avant de le fermer, je laisse cette confirmation qui me donne une seconde chance d’éviter un redémarrage inutile.
Par contre, sur mon poste de travail où je suis seul à avoir accès, cette confirmation est inutile. D’autant qu’il est allumé quasiment en 24/7.

Pour supprimer la demande de confirmation, il faut lancer l’éditeur de configuration de gnome en appuyant sur ALT+F2 et en entrant la commande gconf-editor.
Ensuite, rendez vous sur apps > indicator-session et cochez la case suppress_logout_restart_shutdown. Fermez ensuite la fenêtre de gconf-editor

Jusqu’à la Hardy, on pouvait régler ce fonctionnement dans les options obtenus avec un clic droit sur l’applet de déconnexion, mais je me rends compte que depuis la 10.04 (je n’ai pas utilisé les versions intermédiaires) cette possibilité n’existe plus.

Afficher les icones des paquets debian

Les paquets de logiciels debian peuvent intégrer une icone du logiciel qu’ils installent. Tous n’ont pas cette icone, mais certains, et de plus en plus, l’intègrent. C’est joli, inutile,mais forcément indispensable.

Pour les afficher, il faut installer un logiciel deb-thumbnailer , soit en passant par le ppa

sudo add-apt-repository ppa:deb-thumbnailer-team/ppa
sudo apt-get update
sudo apt-get install deb-thumbnailer

soit en installant directement le paquet deb puis en vous déconnectant/reconnectant.

Ubuntu Lucid: résoudre l’erreur « service xxx start: exec:129: start: not found »

Sur certains système Ubuntu Lucid fraichement installés, j’ai remarqué une erreur étrange qui n’est pas systématique, alors que le disque d’installation est le même (pas une copie, mais véritablement le même) et que les ordinateurs sont parfois différents mais parfois identiques.

Je viens de reconstater l’erreur sur deux ordinateurs strictement identiques (seuls les numéros de série changent), installés l’un après l’autre avec le même disque d’installation.

Sur l’un des systèmes, pas de problème. Sur l’autre, des erreurs non flagrantes apparaissent:

A l’installation d’un programme lançant un service, il apparait une erreur de ce type:

...
Paramétrage de cups-pdf (2.5.0-12) ...
   * Reloading Common Unix Printing System: cupsd                        [fail]

Quand on relance manuellement le service, on a ceci:

#service ssh restart
exec: 129: restart: not found

C’est bien sûr la même chose avec stop, restart, …

Après beaucoup de recherches, j’avais trouvé que c’était un problème dû à udev. Je ne me souviens plus de la raison donnée à l’époque.

Comme le problème vient de m’arriver de nouveau, je vous donne la solution, au cas où vous vous trouveriez dans le même cas: il faut réinstaller udev et redémarrer l’ordinateur (facultatif, mais préférable pour que tous les services soient lancés dans l’ordre prévu)

sudo apt-get install --reinstall udev
sudo apt-get install --reinstall upstart

Je dis que ce n’est pas flagrant, parce que la première fois, j’ai livré l’ordinateur sans constater de dysfonctionnement à l’usage. Alors que j’avais testé le fonctionnement général, comme à chaque fois. C’est le fait de devoir relancer manuellement cups à chaque fois pour pouvoir imprimer qui a révélé le problème.

Aujourd’hui, je ne me fais plus avoir.

Ubuntu à la caisse des écoles de Perpignan

J’ai découvert dans le numéro de septembre du journal des écoles de la mairie de Perpignan un article citant 2 fois Ubuntu.

Même si on peut penser que la description des avantages d’Ubuntu est à côté de la plaque, que les logiciels libres ne sont ni cités, ni expliqués pour leurs avantages, que la photo illustrative représente des postes sous XP (avec Word!), que l’économie en coûts logiciels n’est pas citée ou qu’utiliser Ubuntu en ayant remplacé tous les postes antérieurs à 2007 est une aberration¹, il faut saluer l’initiative.

Ce que je fais ici.

Ce journal, distribué avec le journal de Perpignan, contient 8 pages format A3 et rassemble des informations pratiques. Mais surtout, il est gratuit, disponible dans toutes les administrations et même distribué dans les boites aux lettres de certains quartiers.

Ajoutons que Ubuntu est cité dans un article pleine page, lui même mis en avant en une du journal.

Comme je l’expliquais dans l’article sur l’hôtellerie/restauration, la présence de ces mots (Ubuntu, en l’occurrence) permet de préparer l’oreille et l’esprit des interlocuteurs à une approche différente de Windows et facilite le travail d’approche, au moins pour ma part.

Il sera temps, ensuite, de leur expliquer ce que sont Ubuntu, GNU/Linux, la FSF, les logiciels libres, les avantages/inconvénients…

Comme l’article n’étant pas encore en ligne sur le site de la mairie, en voici un scan (4.5Mo). Par contre, je n’ai pas encore de détails techniques sur l’installation (matériel, versions, logiciels, utilisation, …). Mais je ne manquerais pas de vous informer dès que j’en aurais.


¹- A l’attention des gens de la mairie de Perpignan qui ne manqueront pas de me lire: Ubuntu (et linux en général) étant moins gourmand en ressources que Windows, il permet de réutiliser de « vieux » postes sans besoin de les remplacer, fonctionne bien plus rapidement qu’un poste neuf avec Windows et ne nécessite pas d’investissement matériel. Contactez moi pour plus de détails.

Installer Gimp 2.7.2 mono-fenêtré sur Ubuntu Lucid

Gimp est un outil fantastique que j’utilise quasiment tous les jours. Il est vrai qu’il nécessite un certain temps de prise en main pour arriver à le contrôler parfaitement, mais comme tous les logiciels, cela vient avec l’usage. Plus on l’utilise, mieux on le connait.

Cependant, pour les débutants ou pour les nouveaux utilisateurs de GNU/Linux, l’une des particularités les plus perturbantes est son mode multi-fenêtré qui fait que les outils se trouvent parfois cachés par l’image, surtout quand on cherche à mettre celle ci en plein écran.

Quand on possède 2 écran sur son ordinateur, avoir les outils sur l’un et l’image sur l’autre est incomparable d’ergonomie. Mais peut de gens sont dans cette configuration matérielle et avoir Gimp dans une seule fenêtre est une demande récurrente de presque tous mes utilisateurs qui font l’effort d’essayer de s’y mettre. C’est le fameux Single-window Mode.

Je ne parle pas ici des personnes qui savent utiliser d’autres logiciels comme Photoshop ou Paint Shop Pro (par exemple) et qui ont du mal à quitter leurs habitudes ¹, mais bien de ceux qui s’intéressent pour la première fois à la retouche photo avec un logiciel gratuit.

Jusqu’à présent, je me rabattais sur d’autres logiciels plus simples pour ceux dont les besoins étaient limités (MyPaint, Picasa, Krita, …) mais immanquablement, un jour, ils demandaient LA fonction supplémentaire non incluse dans le logiciel qui les obligeait à en utiliser un autre pour faire ce qui leur semblait à présent une évidence ².

Heureusement, grâce à la pression des utilisateurs, l’équipe de développement de Gimp, qui a longtemps refusé cette fonctionnalité, a intégré dans les plus récentes versions la possibilité d’afficher Gimp dans une seule fenêtre et vous trouverez sur le dépôt ppa de matthaeus123 les paquet pour installer une version svn récente autorisant cet affichage tant demandé. Notez que cette fonction n’est disponible que sur la version de développement (2.7) et est considérée comme non finalisée, mais je peux vous affirmer que c’est fonctionnel pour tous les tests et toutes les installations que j’ai effectués.

Attention: comme toujours, l’ajout d’un dépôt autre que les dépôts officiels d’ubuntu présente un risque de sécurité pour votre ordinateur et vous effectuez cette manipulation à vos risques et périls sans que ma responsabilité ne puisse être mise en cause.

Au lieu d’utiliser ce dépôt, vous pouvez aussi télécharger les sources du programme et le compiler pour obtenir le même résultat.

Installation de Gimp 2.7.2

dans un terminal, entrez les commandes suivantes:

sudo add-apt-repository ppa:matthaeus123/mrw-gimp-svn
sudo apt-get update; sudo apt-get install gimp

Ensuite, il vous faudra lancer Gimp et vous rendre dans le menu Fenêtres et cocher la case Single-window Mode pour obtenir Gimp en mono-fenêtre.

Il est possible que vous ayez à installer un paquet supplémentaire (libgegl-0.0-0) si vous n’arrivez pas à relancer Gimp après l’installation de cette version.

gimp_mono_fenetre

Notez les onglets en haut des images, pour passer de l’une à l’autre.

Quelques petits soucis à signaler quand même:

  • à l’ouverture/fermeture d’images, la fenêtre de Gimp, quand on l’a maximisée, revient sur sa taille fenêtrée précédente. C’est un peu agaçant de toujours devoir la maximiser à chaque manipulation. L’astuce consiste à étirer la fenêtre pour occuper la taille de l’écran. Ainsi, les changements de taille seront invisibles.
  • Certains textes/label ont changé de nom. C’est rien, et sans doute destiné à plus de clarté dans l’utilisation du logiciel, mais certains tutos seront difficiles à suivre (par exemple, passage de Découper la sélection à Rogner la sélection).
  • L’enregistrement se fait par défaut au format de Gimp, soit xcf. Pour enregistrer dans un autre format, il faut exporter l’image. Mais c’est juste une habitude à prendre.
  • Pour être bien à l’aise, il vous faudra un grand écran. Ne pensez pas utiliser ceci sur un netbook³ , vous passeriez votre temps à cacher/afficher les barres d’outil pour voir l’image autrement que par une lucarne de la taille d’un timbre poste.
  • L’ajout de texte sur une image n’ouvre plus de fenêtre supplémentaire, vous éditez directement le texte sur l’image (c’est bien!), mais c’est pas encore complètement au point.

Conclusion

Cette version apporte des changements de fonctionnement qui vont, à mon avis, dans le bon sens pour permettre à tous les types d’utilisateurs de travailler efficacement. Il reste, c’est vrai, du travail à accomplir pour attendre les challengers du marché, mais le but de Gimp n’est pas de faire concurrence à d’autres, mais bien d’offrir un logiciel fonctionnel gratuit à ceux qui en ont besoin.

La prochaine version stable est prévue pour décembre 2010 (Gimp 2.8.0, les versions impaires étant des versions de développement) mais vous pouvez déjà tester certaines nouveautés et vous faire la main en attendant celle ci, n’ayant constaté aucun problème majeur/bloquant pendant mes essais.

Notes

  1. Quand on a payé un logiciel plus de 1000 euros, on essaye de le rentabiliser en l’utilisant, quelle que soit la difficulté d’utilisation de celui ci…
  2. Au fur et à mesure de l’utilisation, et donc de l’apprentissage, les envies et les besoins augmentent, et les difficultés du début s’oublient.
  3. De toute façon, qui à part moi chercherait à utiliser Gimp sur un netbook de 9″?

Communiquer par un tunnel crypté SSH avec votre serveur comme relai (depuis Linux)

tunnelierLorsque vous êtes en déplacement, connecté en wifi à une borne gérée par on ne sait qui, il est délicat d’accéder à vos comptes bancaires ou votre messagerie en ayant l’esprit tranquille.

En effet, rien n’empêche le propriétaire du point d’accès de surveiller tous les échanges sur cette borne, ou un pirate de sniffer les communications.

Il est possible d’utiliser votre serveur qui tourne à la maison, (voire même un serveur kimsufi, dédibox, ou autre), comme relai pour vos communication, à la fois pour la navigation web et pour les mails. L’important étant que vous ayez confiance dans la machine qui va vous servir d’intermédiaire et du réseau sur lequel elle est connectée.

L’avantage, c’est que c’est rapide et simple à mettre en place, même au dernier moment.

Précisions

Un tunnel ssh ne permet de passer que des protocoles basés sur TCP, au contraire d’un VPN qui permet de transporter tout type de trame IP et non IP en plus d’apporter un routage complet. Ce n’est donc pas un VPN au sens réel du terme, mais cela va vous permettre d’utiliser la sécurité du SSH sur la partie du réseau qui n’est pas fiable.

Creusons le tunnel

Votre ordinateur relai devra, bien évidemment, avoir un serveur SSH accessible depuis l’extérieur. L’idéal étant de pouvoir s’y connecter par clef plutôt que par mot de passe, ce qui vous permettra de fermer l’authentification par clef et de limiter les attaques. Mais les deux fonctionnent.

Je vous laisser lire la documentation pour mettre en place un serveur ssh si vous ne savez pas encore le faire.

Nous allons donc lancer une connexion vers notre serveur, et « binder » (lier) cette connexion à un port local afin que tout ce qui arrive sur le port local soit transféré sur la connexion SSH (et vice versa). Dans un terminal, qu’il faudra laisser ouvert tout le temps de la session, entrez ceci:

ssh -D 1234 utilisateur@serveur_relai

Un man ssh vous donnera plus de détails sur le fait que l’option -D fait que SSH se comporte comme un serveur SOCKS et vous rappellera que seul root peut utiliser les ports privilégiés. Nous utilisons arbitrairement le port 1234, mais vous pouvez utiliser n’importe quel port local supérieur à 1024 (lancé par un utilisateur non root) à condition qu’un service ne tourne pas déjà sur ce port.

Si votre serveur ssh ne tournait pas sur le port par défaut, vous pourrez alors utiliser cette commande en précisant le port de votre serveur:

ssh -D 1234:port_ssh utilisateur@serveur_relai

par exemple

ssh -D 1234:443 utilisateur@serveur_relai

ou

ssh -D 1234 -p 443 utilisateur@serveur_relai

Si vous fermez le terminal dans lequel vous avez ouvert le tunnel, la communication serait fermée et vos logiciels ne pourraient plus sortir. Il faudra donc ne pas le fermer tout le temps de la session.

Hey Ho, Hey Ho, on rentre … dans le tunnel

Maintenant que nous avons créé notre tunnel, il faut indiquer aux logiciels de l’utiliser.

Par exemple, pour firefox:

menu Édition > Préférences > Avancé > Réseau > Paramètres

Utilisez un proxy SOCKS qui est donc votre ordinateur (point de départ de la connexion SSH) sur le port indiqué (1234 dans ce cas) tel que ci dessous

Paramétrage pour Firefox

Pour vous convaincre que vous passez par votre serveur et non par la connexion wifi en cours, allez visiter un site comme http://www.monip.org/ qui vous montrera votre adresse IP externe. Si votre serveur a une IP fixe, vous reconnaitrez facilement votre IP. Sinon, visitez le site, un coup sans proxy, un coup avec, et vous verrez que l’ip n’est pas la même.

Par exemple, pour thunderbird:

Les avantages de cette solution, pour envoyer du mail, sont:

  • vous n’aurez pas à modifier le serveur SMTP d’envoi à chaque fois, même si des extentions existent pour compenser ce problème.
  • pas d’interception de vos mails par un éventuel proxy ou sniffer sur le réseau
  • l’adresse IP d’expédition est celle de votre serveur, pas celle de votre emplacement actuel (vie privée respectée)

Rendez vous à menu Édition > Préférences > Avancé > Réseau et espace disque > Paramètres et paramétrez tel que sur l’image suivante:

Paramétrages de mozilla thunderbird

Lorsque vous enverrez un mail, il passera par le tunnel et sera donc réellement envoyé par votre serveur relai vers votre propre fournisseur d’accès, indépendamment du FAI depuis lequel vous êtes actuellement connecté.

Pour les autres logiciels:

Le principe du paramétrage est identique aux exemples ci dessus. Cherchez dans leur configuration comment utiliser un proxy socks.

Ça peut aussi ne pas fonctionner!

En effet, si un proxy est paramétré sur votre réseau (pas chez vous, là où vous êtes connecté) et qu’il ne laisse pas passer le ssh, vous êtes bloqué. Mais il existe parfois des solutions:

  • Si le blocage du ssh est dû aux ports qui sont autorisés, il vous faudra mettre votre serveur ssh (chez vous) en écoute sur un de ceux ci. Il y a de fortes chances pour que le http et le https soient autorisés (sinon le proxy ne servirait à rien, autant débrancher le câble…).
  • Si le blocage est dû à l’analyse des flux par le proxy et que le ssh est refusé, il faudra passer par un tunnel http dans lequel vous ferez passer un tunnel ssh (ou ce que vous voudrez). Vous pouvez utiliser l’excellent http-tunnel qui vous sortira de l’impasse.
  • Si le proxy utilise un filtrage applicatif en plus du reste… c’est que l’admin est un acharné et que vous n’arriverez pas à sortir par cette voie.

Notez qu’il est possible de faire la même chose avec putty et Windows mais je vous laisser faire ça seuls, n’ayant plus de licence depuis longtemps, et encore moins l’envie de me salir les mains avec ça.

A lire aussi:

Prendre une capture d’écran sous gnome (simple et avancée)

Savoir prendre une capture d’écran apporte des avantages immédiats¹: copie d’un message d’erreur pour qu’un expert puisse l’expliquer, garder une preuve d’un paiement sur un site, ou d’un commentaire sur un forum, copie d’une image ou d’un schéma quand le clic droit est désactivé par le site, ….

L’usage ne dépend que de votre imagination.

La touche magique

De base, pour prendre une capture d’écran, il suffit d’appuyer sur le bouton imp écr (ou « print screen« , selon les claviers). C’est une touche qui se situe en général vers le haut et la droite de votre clavier, mais sur certains portables exotiques, je l’ai déjà trouvée à gauche.  Cherchez autour des touches « Insert« , « Suppr« , « Orig« , … Celles que vous n’utilisez que rarement. Parfois, sur les portables, il faut appuyer en même temps sur la touche de fonction « Fn » pour utiliser la fonction de capture d’écran notée dans une autre couleur sur la touche.

Clavier de portable

Capture simple

Lorsque vous avez appuyé sur la touche, immédiatement, une capture d’écran est effectuée (l’ensemble de ce qui est visible à l’écran) et il vous est proposé de l’enregistrer sur votre ordinateur.

Capture_ecran_standard

A la différence de windows, il n’est pas nécessaire d’ouvrir ensuite un document pour coller l’image² qui est mémorisée dans le presse papier sans message de la part de Windows. C’est la raison qui fait que la majorité des utilisateurs pense que cette touche ne fonctionne pas et ne sert à rien, et qu’on en arrive à vendre des logiciels de capture d’écran

Simple, mais puissante

Il existe une option « cachée », un raccourci en fait, qui vous permet d’aller plus loin:

  • Si vous appuyez sur ALT en même temps que la touche d’impression d’écran, vous ne capturerez que la fenêtre active à l’écran.

Utilisation avancée

Le logiciel de capture d’écran de gnome possède des options avancées permettant plus de liberté. Vous y accédez par le menu Applications > Accessoires > Capture d’écran.

Vous pouvez alors choisir parmi plusieurs options:

  • Capturer l’ensemble du bureau (ce qui est identique au mode simple)
  • Ne capturer que la fenêtre active (ce qui vous évite d’éditer l’image du bureau complet pour découper la fenêtre qui vous intéresse)
  • Sélectionner une zone à capturer. Le pointeur se transforme en croix, et vous devez cliquer/glisser pour sélectionner votre zone. N’ayez pas peur de cliquer sur un bouton: tant que le pointeur représente une croix, les applications ne sont pas actives. Attention quand même aux clics parkinsoniens.

Vous pouvez choisir, pour certaines options, un décalage entre le moment où vous cliquez sur le bouton Prendre une capture d’écran et le moment où la photo sera prise, ce qui permet de capturer les menus, menus contextuels et fenêtres modales, ou d’activer une action afin qu’elle soit présente sur l’image finale.

Capture_d'écran_avancée

Par rapport à la méthode simple, cela vous oblige juste à un clic supplémentaire pour prendre votre capture d’écran. Mais il faut aller dans les menus pour avoir la fenêtre avec les options…

Accès direct aux options de capture

Rassurez vous (même si vous n’étiez pas inquiets), il est possible d’avoir ce comportement avec la touche impr écr en allant simplement modifier un réglage dans la configuration de gnome.

Ouvrez gconf-editor (ALT+F2 puis gconf-editor) et rendez vous à /apps/metacity/keybinding_commands/command_screenshot. Double cliquez sur la ligne affichant gnome-screenshot et ajoutez en fin l’option « -i » pour avoir gnome-screenshot -i, ce qui demande au logiciel de capture de s’ouvrir en mode interactif. Validez et fermez. Vous pouvez maintenant tester en utilisant la touche d’impression d’écran.

Modification de la clef dans la configuration de gnome pour faire apparaitre les options lors de l'appuis sur la touche impr écr (print screen)

Bien sûr, pour revenir au comportement par défaut, il suffit d’effectuer les mêmes opérations et de supprimer l’option « -i ».

Mais aussi:

Il est possible d’effectuer des captures d’écran en ligne de commande, vous trouverez plein de choses sur le net, en particulier sur Wikipedia, mais ce n’est pas le cadre de cet article. Cependant, le man de gnome-screenshot vous donnera des indications sur les options que vous pouvez ajouter à la commande dans gconf-editor³.

  1. Ce qui n’est pas le cas de tout le monde, et cet article m’évitera de me répéter.
  2. Vous n’imaginez pas le nombre de document word ne contenant qu’une image que je peux recevoir par courrier…
  3. Vous pouvez ajouter des effets, en particulier une ombre autour de votre capture.

Personnaliser le thème d’icones d’openoffice.org

De retour après quelques petits soucis d’hégerbement hébergement…

Comme vous n’êtes pas sans le savoir, Openoffice.org est une suite bureautique complète, souvent utilisée pour remplacer l’Office de Microsoft. Et il faut reconnaitre que, pour le commun des mortels, les fonctionnalités sont équivalentes.

Cependant, l’aspect par défaut de Openoffice.org est assez austère… Surtout quand on passe du dernier Office ultra coloré à Openoffice.org du jour au lendemain.
Heureusement, il est possible de changer de thème d’icones pour trouver des choses plus agréables à l’œil, et ce assez simplement.

Tout d’abord, il vous faudra installer les thèmes, qui ne le sont pas par défaut.

sudo apt-get install openoffice.org-style-*

Cela vous installera les styles suivants:

openoffice.org-style-andromeda
openoffice.org-style-galaxy
openoffice.org-style-human
openoffice.org-style-industrial
openoffice.org-style-oxygen
openoffice.org-style-tango
openoffice.org-style-crystal
openoffice.org-style-hicontrast

Ensuite, il vous faudra aller choisir le thème dans les options d’Openoffice.org en allant dans le menu Outils > options.
Dans la section Openoffice.org, allez sur Afficher puis sélectionnez votre thème d’icones.

Choix des thèmes dans Openoffice.org

Les thèmes d’icones disponibles

Vous trouverez ci dessous une capture de chaque thème, à vous de choisir celui qui vous plait le plus.

Classique

thème classique pour Openoffice.org

Contraste élevé

thème contraste élevé pour Openoffice.org

crystal

thème crystal pour Openoffice.org

Galaxy

thème galaxy pour Openoffice.org

Human

Notez qu’il s’agit du thème d’icones par défaut.

thème human pour Openoffice.org

Industriel

thème industriel pour Openoffice.org

Oxygene

thème oxygène pour Openoffice.org

Tango

thème tango pour Openoffice.org

Et avec Windows ?

La méthode a été donnée sur le site d’Openoffice.org, dans la documentation. Je ne retrouve plus l’emplacement de la page ou du fichier, mais je l’ai sauvegardé, donc je vous le met à disposition avec la méthode pour installer les icones de linux sous windows.

Des skins, des skins!

À l’heure actuelle, il n’est pas possible de skinner complètement la suite bureautique, bien que cette option ait pu exister pour la version 1.1.5 de façon fugace. Cependant, une demande est ouverte (http://fr.openoffice.org/issues/show_bug.cgi?id=18829) pour demander que cette possibilité soit intégrée dans les versions à venir. N’hésitez pas à voter.

Ce n’est certes pas une fonction fondamentale d’une suite bureautique, mais j’ai, hélas, souvent pu constater que le succès d’un logiciel se faisait sur ce genre de gadget. Et que moins le logiciel changeait d’aspect, moins l’utilisateur était dérouté, même s’il savait que rien n’était pareil. Il y en a bien qui pensent aller plus vite en peignant leur voiture en rouge….

Se connecter automatiquement à FreeWifi

C’est une astuce trouvée sur webynux (comme quoi c’est intéressant de suivre ses pings) qui permet de s’identifier automatiquement sur le réseau FreeWifi sans avoir à entrer à chaque fois ses codes.

Voici le script à créer dans /etc/NetworkManager/dispatcher.d/freewifi.sh:

#!/bin/sh
 
[ ! -f /sbin/iwconfig -o ! -x /sbin/iwconfig ] && exit 0
[ `/sbin/iwconfig 2>&1|grep -i freewifi|wc -l` -eq 0 ] && logger "Ce n'est pas FreeWifi ..." && exit 0
 
. /etc/freewifi.conf
 
wget -O - --post-data="login=$LOGIN&password=$PASSWORD" "https://wifi.free.fr/Auth" 2>/dev/null|grep "CONNEXION AU SERVICE REUSSIE" 1>/dev/null 2>&1 && logger "Connection FreeWifi OK" && exit 0
logger "Erreur de connection FreeWifi"
exit 0

Rendez ce script exécutable avec la commande:

chmod +x /etc/NetworkManager/dispatcher.d/freewifi.sh

Créez ensuite un fichier /etc/freewifi.conf contenant:

LOGIN=xxxx
PASSWORD=yyyy

C’est tellement pratique!

Dès que j’aurais le temps, j’en ferais un deb pour pouvoir l’installer facilement.

Au passage, ça m’a permis de découvrir la commande logger

Réduire la taille d’un PDF sur Linux

Il y a quelques temps, j’avais écrit un article pour alléger un document PDF. Il faut reconnaitre qu’Openoffice.org crée des PDF avec de l’embonpoint.

J’ai découvert récemment que Ghostscript possédait une option permettant de spécifier comment allait être utilisé le document, que ça aidait fortement à réduire la taille finale, et qu’il était prévu pour les documents PDF.

Il y a trois possibilités principales:

  • Votre document doit être utilisé sur un écran
  • Votre document doit être imprimé sur une imprimante de bureau
  • Votre document sera imprimé sur une imprimante professionnelle (tirage chez un imprimeur)

Un moniteur informatique possède une résolution typique d’une centaine de DPI (pixels par pouces). Ce qui signifie que sur un pouce d’écran il y a une centaine de pixels. Traditionnellement, la résolution utilisée pour des images destinées à l’écran est de 72 DPI. Or, si votre image est à 300 DPI, c’est complètement inutile ! Pour un pouce, vous aurez donc 228 pixels en trop qui prendront de la place dans votre document.

Pour une impression de bonne qualité, une image entre 150 et 200 DPI est suffisante. Si votre image fait 300 DPI, elle est inutilement trop grande.

Si vous avez installé ghostscript, une seule ligne de commande pourra vous rendre bien des services, en particulier si vous devez envoyer vos documents par mail:


gs -q -dSAFER -dNOPAUSE -dBATCH -sDEVICE=pdfwrite -dPDFSETTINGS=/printer -sOUTPUTFILE=PDFdeSortie.pdf -f PDFaAlleger.pdf

Remplacez bien sûr, PDFdeSortie et PDFaAlleger par le nom voulu et le nom de votre document.

l’option -dPDFSETTINGS peut prendre les valeurs suivantes:

  • /screen pour un document destiné à l’écran
  • /ebook pour une qualité entre screen et printer (suite aux commentaires de l’article)
  • /printer pour un document destiné à l’impression
  • /prepress pour un document destiné à l’impression professionnelle

Pour info, j’ai utilisé l’option /screen pour un PDF de 40Mo et j’ai obtenu (après une bonne minute de traitement) un PDF de 5.1 Mo.

Le document obtenu s’ouvre bien plus rapidement et la qualité des pages, si elle a légèrement souffert, reste largement suffisante pour lire le texte et les images.

Avec l’option /printer, la taille du document obtenu est de 13.5 Mo sans perte de qualité visible à l’œil par rapport au document d’origine. Mais le document est quand même plus rapide à l’ouverture.

Ubuntu Lucid:Editer le chemin de Nautilus

Sur les anciennes versions de gnome, il était possible d’afficher et de modifier le chemin autrement qu’avec des boutons, et basculer d’un mode à l’autre en cliquant sur le bouton représentant un crayon et une feuille.

Sur Lucid, cette possibilité a été supprimée. En fait, seul le bouton a disparu, mais il est toujours possible de passer d’un mode à l’autre en utilisant les racourcis CTRL + L pour afficher le chemin textuel, et ESC (avec la barre d’adresse active) pour revenir aux boutons.

Fin de l’article technique.

Réflexions personnelles:

On va encore me targuer de nostalgie, mais je trouve que la possibilité de passer simplement d’un mode à l’autre était important:

  • Pour les geeks, pas la peine de faire un dessin
  • Pour les autres, ça permettait une première approche de l’arborescence et du classement des dossiers autrement que renfermé dans le mode « dossier à cliquer ». L’argument de dire que c’est compliqué, que ça n’apporte rien ou que ça perturbe les gens ne tient pas: tous les explorateurs des XP que je connais ont cette barre et personne n’a suivi de thérapie à cause de celle ci. Les gens utilisent, ou pas, mais ça ne les gène pas.

Est ce une évolution progressive vers un mode de travail différent ? Peut être, l’avenir nous le dira.
Toujours est il que je constate que les systèmes d’exploitation (quels qu’ils soient), sous prétexte d’offrir une expérience utilisateur étendue (mauvaise traduction de enhanced user experience), cachent de plus en plus le fonctionnement du système à l’utilisateur, y compris l’emplacement de ses propres fichiers. Comment, dans ce cas, peut il construire sa représentation mentale de son environnement numérique? Et s’y retrouver ? A moins que…

A moins que les documents utilisateurs ne soient plus stockés dans l’ordinateur, mais dans les nuages. Si j’en conçois bien les avantages indéniables pour tous, j’ai aussi conscience des inconvénients!

A l’heure où l’accès à l’internet n’est toujours pas un droit inaliénable, où la popularité se compte en pages Facebook, tweeter et autres contacts MSN, ne plus avoir le contrôle de ses données c’est aussi ne plus exister en tant qu’individu IRL si HADOPI and co vous a dans le viseur.

Mais n’est ce pas (un peu) le but recherché?

Mode paranoïa: off. Merci d’avoir suivi. Tout ça pour une pauvre barre d’adresse…

Edit du 03/06/2010: sur le forum Ubuntu, une astuce a été donnée pour retrouver un bouton permettant de basculer d’un mode à l’autre en utilisant « nautilus-actions ». Cela fonctionne bien, sauf que le bouton n’est plus à son emplacement habituel, ce qui n’est pas très grave.

Perte du réglage de volume sur Ubuntu Lucid

Attention: Lucid est encore en beta au jour d’écriture de cet article, et les choses évolueront certainement dans les prochains jours.
Si vous avez installé la version d’Ubuntu Lucid Lynx, lors d’une mise à jour vous avez peut être pu vous trouver, comme moi, sans applet de volume dans la zone de notification, alors que le son fonctionne (par exemple à l’ouverture).
Pour la retrouver, il vous suffit de taper la commande suivante, puis de vous délogguer pour pouvoir de nouveau accéder au réglage de volume :

sudo apt-get install --reinstall gnome-applets gnome-applets-data indicator-sound indicator-applet

Remettre les boutons de fenêtre de Lucid à droite

Je teste de plus en plus Ubuntu Lucid, puisque mes programmes devront tourner le plus tôt possible sur cette version dans un peu plus d’un mois. C’est encore une version instable, donc il est déconseillé de l’utiliser en production avant sa sortie officielle

Avec le nouveau thème, Ubuntu Lucid apporte une modification qui n’est pas anodine: les boutons de fenêtre (maximiser, minimiser et fermer) sont placés à gauche de la barre de titre au lieu d’être à droite.

C’est sans doute très « staaaïle« , mais c’est surtout une remise en cause de nombreuses années d’habitudes qui va fortement perturber les utilisateurs, moi y compris.

Autant le nouveau thème mauve ne me dérange pas trop (bien que je trouve qu’il fasse très féminin, mais c’est peut être une chance d’attirer les femmes vers le libre), autant cette modification d’emplacement de boutons me fait faire des kilomètres avec la souris et me provoque une frustration à chaque manipulation de fenêtre. Sans compter que mes clients vont me hair si je leur change leurs habitudes.

De plus, plusieurs thèmes deviennent affreux parce qu’ils n’ont pas été conçus avec la possibilité de mettre les boutons à gauche.

(Le thème de l’image n’est pas le mauve dont je vous parlais ci dessus)

Heureusement, il est assez simple de revenir à l’ancien emplacement des boutons (quand on connait la méthode).

Lancer gconf-editor par Alt+F2 et rendez vous à /apps/metacity/general/button_layout. Remplacez « maximize,minimize,close: » par « :minimize,maximize,close » (ne déplacez pas seulement les deux points de la fin au début de la chaine, notez que les boutons ne sont pas dans l’ordre habituel). La modification est immédiate dès que vous validez.

Il est possible que les choses changent encore avant la sortie officielle, mais dans le cas contraire, vous saurez au moins comment remettre les boutons à l’endroit où vous allez machinalement les chercher.

Donner l’aspect de Windows XP à Gnome

Ce n’est en rien une nouveauté, et des tutoriels existent plein les moteurs de recherche.

Je ne vais pas non plus débattre sur le bien fondé de réduire un bureau puissant afin de le faire ressembler à un logiciel propriétaire, ou les choix graphiques faits par Microsoft pour son bureau.

Cependant, il m’arrive d’être obligé de remettre l’aspect du bureau d’un utilisateur à ce qu’il connait. Une bonne partie des réticences à la migration vers GNU/Linux provient d’un changement brusque des habitudes des utilisateurs qui ne s’y retrouvent plus. Déplacer ou changer l’image d’une icone sur le bureau vous semble peut être négligeable, mais une secrétaire qui subit l’informatique passera son temps à vous appeler si elle ne s’y retrouve pas. Pire, elle fera le forcing auprès de sa direction pour revenir à l’ancien système, où elle se sentait efficace. Une fois revenue sur Windows, c’est un client qui aura perdu du temps, de l’argent et gagné des ennuis qu’il n’avait pas avant. Un client devant lequel il ne faudra plus jamais prononcer les mots « linux » et « logiciels libres ». Et qui ne se gênera pas pour parler (mal) de vous à ses copains DSI dans les boites que vous souhaitez démarcher!

Une fois sur un Gnome looké XP, avec le temps, progressivement, on peut montrer les nouveautés (et surtout les outils supplémentaires disponibles) à l’utilisateur qui sera content que ça marche bien.

Pour l’anecdote: une utilisatrice à qui j’avais installé Ubuntu avec un look XP m’a demandé, quelques mois après la migration de son poste de travail, quelle était la version de XP que j’avais installé. Comme j’ai réclamé plus de précision sur sa demande, elle m’a avoué que sur le XP de la maison elle n’avait pas tous les outils du travail (merci nautilus-actions), ce qu’elle trouvait dommage. Son fils, malgré tous ses essais, n’avait pas pu trouver la version de XP qu’elle cherchait, il en avait pourtant piraté plusieurs. Elle pensait donc que c’était une version spécifique distribuée par les professionnels et elle souhaitait que je lui pirate la même. Et prête à me payer pour cette mauvaise action! Au final, j’ai présenté les choses à l’ado de fils et tous les ordinateurs de la maison sont désormais équipé d’Ubuntu. Et un jour, le thème XP du poste de travail a disparu au profit d’un thème rose (bah! mais bon…) choisi et installé par l’utilisatrice. « Qu’importe le chemin tant que de la lumière tu approche », dirait maitre Yoda.

Jusqu’à maintenant, je modifiais tous les éléments à la main mais je suis tombé sur un script qui fait tout automatiquement, et qui surtout permet de revenir simplement en arrière. J’ai nettoyé l’archive (remplie de fichiers temporaires inutiles) et j’ai francisé le thème et les labels des icones du bureau. Vous pouvez télécharger l’archive ici: XpGnome.tar

Le site où j’ai trouvé ce script (avec des captures d’écran avant/après) montre une vidéo des modifications effectuées pendant le « lookage » vers XP et  le retour en arrière. Ne vous fiez pas à la vidéo, elle a été faite sur une ancienne version du script, mais ça donne à peu près la même chose, en mieux.

Pour l’instant, personne ne m’a demandé de retrouver le thème Vista. Le thème de XP passe manifestement mieux.

Convertissez vos textes en bulgroz

Le Bulgroz est une langue encore active, ne vous y trompez pas!

Extrait du site web:

Ce projet hautement important pour la communauté des logiciels libres a vu le jour le mardi 7 janvier 2004 dans l’après-midi sur le channel #nasgaia du serveur irc.freenode.net. L’auteur, Richard, alias riri_le_mechant, a voulu faciliter le travail de traduction du français vers le bulgroz, cette magnifique langue inventée par le grand, le magnifique, le splendide Zorglub !

Programmé en C ANSI avec grand soin par Richard et placé sous GPL, ce logiciel vous permettra de traduire instantanément toute phrase en bulgroz sur une plateforme GNU/Linux ou MS Windows. Pour celles et ceux qui ne le savent pas, le bulgroz consiste à écrire les mots à l’envers mais en gardant l’ordre des mots dans la phrase. Si vous avez compris, alors vous savez ce que signifie la phrase suivante : « no evuort ettec eugnal snad sed serutneva ed uorips te oisatnaf »

Il faut savoir également que ce programme est recommandé par le très sérieux Da Linux French Page dans le journal de malenki ! Le site Léa-Linux nous mentionne dans sa liste de logiciels recommandés.

Le paquet fournit sur le site n’est pas fonctionnel pour Ubuntu, puisqu’il fait appel à des dépendances trop anciennes. De plus, le site semble à l’abandon et l’adresse de l’auteur revoie des Unknown User

Qu’importe, comme c’est un outil indispensable, j’ai décidé de m’y attaquer et je me suis fait un plaisir de l’écrire en python. J’y ai ajouté deux options, l’une permettant de convertir tout un fichier, l’autre permettant d’envoyer la conversion dans un fichier.

Ce programme, qui possède même sa page de man, s’utilise comme suit une fois installé:

tulklut "ceci est une phrase qui sera traduite" -o /tmp/phrase.txt
tulklut -f ~/Documents/histoires.txt  -o /tmp/phrase.txt

ou, tout simplement, pour voir la sortie à lécran

tulklut "ceci est une phrase qui sera traduite"
icec tse enu esarhp iuq ares etiudart
 
tulklut -f ~/Documents/histoires.txt
...

Ce convertisseur ultra évolué à la pointe des dernières technologies permet la conversion vers le Bulgroz, mais aussi depuis le Bulgroz!

tulklut "icec tse enu esarhp iuq ares etiudart"
ceci est une phrase qui sera traduite

Inutile, donc hautement nécessaire, vous pouvez l’installer en utilisant les miroirs Absolacom ou en téléchargeant directement le paquet deb. Il n’est disponible que pour Jaunty, mais il s’installe sans problème sur Karmic et même sur Lucid. Je n’ai pas testé les autres mais je pense que cela devrait fonctionner vu que seul python est en dépendance.

Là où ça devient encore plus puissant, c’est que vous pouvez convertir d’autres types de fichiers que du texte! Dans un sens, puis dans l’autre. Par exemple: odt, doc, html, php, pdf … Seules les images n’ont pas pu être rétablies pendant mes tests.

Ça ne peut pas remplacer un véritable cryptage pour protéger des documents, mais ça peut être une méthode à La Rache pour cacher des choses aux yeux de ceux qui ne connaissent pas le Bulgroz, d’autant que si vous convertissez du texte, on peut rapidement trouver l’astuce, mais si vous convertissez un fichier interprété par un programme (html, odt, pdf …) en laissant l’extension d’origine, le programme va afficher n’importe quoi ou hurler qu’il y a des erreurs. Et même en ouvrant le fichier avec un éditeur, il est très difficile de voir le problème (sauf si on connait le truc).

Amusez vous bien!

Migrer de Thunderbird2 vers Thunderbird3 sur Jaunty

Après l’installation, j’ai eu quelques problèmes: aucun de mes comptes de messageries n’étaient visibles (pas plus que les mails), et Thunderbird me proposait de créer un nouveau compte.

Toutes les manipulations se font à partir du home de l’utilisateur.

Installer Mozilla Thunderbird 3 sur Ubuntu

Téléchargez TB3 et décompactez l’archive. Déplacez ensuite celle ci sur /opt

sudo mv Bureau/thunderbird /opt/

Modifiez ensuite le lanceur afin qu’il lance thunderbird 3 au lieu de la version 2

sudo gedit /usr/share/applications/thunderbird.desktop

Modifiez la ligne Exec=thunderbird %u en Exec=/opt/thunderbird/thunderbird %u

Enregistrez et fermez le fichier.

Retrouver ses mails

Le problème des mails vient que TB3 utilise le dossier ~/.thunderbird alors que la version 2 sur Jaunty (et sans doute sur les autres versions)  utilise ~/.mozilla-thunderbird. Donc, TB3 ne retrouve pas les éléments auxquels on s’attend.

Il faut alors soit copier le contenu de .mozilla-thunderbird dans .thunderbird, soit créer un lien d’un dossier vers l’autre.

La première chose à faire est de sauvegarder le dossier pour permettre un retour en arrière en cas de problème. Effectuez une copie de .mozilla-thunderbird avant toute modification.

Je crée un lien nommé .thunderbird pointant sur .mozilla-thunderbird. Si vous avez déjà lancé TB3, supprimez le dossier .thunderbird automatiquement créé

ln -s .mozilla-thunderbird/ .thunderbird

Il ne reste plus qu’à lancer Thunderbird en cliquant sur l’icone habituelle.

Ne vous étonnez pas. Si vous avez beaucoup de messages ou de comptes de messageries, TB3 va tous les indexer, et ça peut prendre du temps…

Superviser vos serveurs avec FTPupinfo

Il est toujours pratique d’avoir un oeuil sur les ordinateurs dont on a la charge. Ne serait-ce que pour prévenir avant de guérir. Quand je dis serveurs, c’est tout type de machine linux.

Or, s’il faut se connecter à chacun pour avoir des infos, cela devient vite pénible.

Il existe une pléthore de logiciels dédiés à cet usage. Des simples, comme phpsysinfo, et des poids lourds comme Nagios, zabbix, …

Les logiciels simples peuvent correspondre à un besoin ponctuel, mais manquent souvent des éléments dont on aurait besoin spécifiquement. Les poids lourds du genre sont cauchemardesques à configurer, et c’est souvent sortir le bazooka pour tuer une mouche… Sans compter les failles de sécurités régulières.

J’ai développé un logiciel nommé FTPupinfo destiné, à la base, à mon usage personnel, pour superviser mes serveurs. Puis il a évolué avec le temps pour devenir une application à part entière, située entre les deux catégories dont on a parlé.

Voici un rapide aperçu:

Capture 1

Avantages:

  • Facile à installer (paquet dans les dépôts absolacom)
  • C’est le client qui uploade vers le serveur, pas le serveur qui interroge le client (pas d’ouverture de ports, pas de faille). Pas besoin de se connecter à la machine à surveiller (pas d’ouverture de ports, pas de faille).
  • Paramétrable avec un simple fichier de configuration texte
  • Upload sur le serveur en mode FTP ou rsync (si upload activé, non obligatoire)
  • Copie en local possible des rapports générés
  • Rapide et léger
  • Possibilité d’activer/désactiver chacune des fonctions
  • Personnalisable par skins (que vous pouvez créer/ajouter)
  • Ajout de modules possibles (par exemple pour prendre en charge SNMP)
  • Pensé pour être sécuritaire
  • Possibilité d’exécuter des programmes avant, pendant, après le fonctionnement du logiciel (alertes par mail, nettoyages, …)
  • Possibilité de garder le dernier rapport, un par jour, tous…
  • Le dernier rapport est accessible même si le serveur ne l’est pas
  • Fonctionne sur Debian (et dérivées), Mandriva, Suse (depuis les sources)

Inconvénients:

  • Ne fonctionne pas encore pour Windows (et ce n’est pas une priorité). Fonctionne au strict minimum avec Cygwin avec une version modifiée du programme (contactez moi si vous êtes intéressé).
  • Visualisation en mode décalé. Pas de consultation en direct (le programme est lancé avec une granularité d’une minute).
  • Sans doute Certainement améliorable au niveau du code
  • Disponible uniquement en deb ou en source (si vous voulez packager pour votre distrib, soit vous vous en chargez, soit vous me dites comment faire)
  • Les skins sont moches (si,si. Je sais. Je ne suis pas graphiste, je le reconnais), mais c’est du full CSS (sauf scories) facilement modifiable.¹
  • En anglais pour l’instant (même si c’est peu gênant, le vocabulaire informatique utilisé étant souvent anglais). L’adaptation pour permettre la localisation est en projet.
  • …heu…
Page de statistiques

Page de statistiques

Toutes les infos se trouvent sur le site du projet et vous pouvez voir des exemples sur le site de démo.

Dernière précision, c’est entièrement du GPL gratuit pour la partie cliente (le programme qui tourne sur les ordinateurs). Seule la partie serveur de supervision (optionnelle) est payante.

Il est actuellement utilisé professionnellement par ma société pour superviser les clients, quelques sociétés partenaires et les écoles du département des Pyrénées Orientales équipées de serveurs Eclair (dont j’ai été le développeur initial pour le pôle de compétences de Perpignan) ou Zeli.

Les suggestions, remarques, rapports de bugs sont les bienvenus.

1. message subliminal très subtil 😉 : si vous savez fairedes skins potables, envoyez les moi et je les intègrerais au programme avec vos crédits.

Recevoir les logs par mail

Il peut être intéressant de recevoir les logs de vos ordinateurs par mail pour plusieurs raisons:

  • pour penser à les regarder,
  • pour recevoir les logs de vos serveurs,
  • pour garder un historique des logs et pouvoir remonter dans le temps,
  • générer des statistiques à partir des logs sans se connecter aux serveurs (ce qui est utilisé par exemple pour générer la liste des identifiants déconseillés)

Pour cela, je vous propose d’installer un utilitaire en python développé par mes soins.

ATTENTION: ce programme fonctionne pour Hardy et Jaunty. Il n’a pas été développé ou testé sur Karmic mais sera disponible pour toutes les version X.04 d’Ubuntu.

ATTENTION2: ce programme ne peut fonctionner simplement avec Orange. Pour ce FAI, il faut installer postfix et le paramétrer avec l’authentification sasl. Cela fera l’objet d’un prochain article. Pas de problème chez Free, Alice et SFR.

Zeli-sendlog

zeli-sendlog est un programme python qui va créer une archive des logs de l’ordinateur sur lequel il est installé et va automatiquement l’envoyer par mail aux adresses paramétrées.

Une fois installé, ce programme ne nécessite aucun réglage.

Installation

Il vous faut tout d’abord ajouter les miroirs Absolacom à votre fichier de sources tel qu’indiqué sur cette page. Rechargez la liste des paquets et installez le paquet zeli-sendlog et ses dépendances.

Paramétrage

Pour envoyer un mail, il vous faut trois choses:

  1. un serveur SMTP,
  2. une ou plusieurs adresses de destination,
  3. un nom pleinement qualifié afin que vos mails soient acceptés sans être considérés comme du spam.

Serveur SMTP

Il se règle dans le fichier /etc/smtp_server. Vous indiquez simplement le nom ou l’adresse de votre serveur SMTP. Par exemple, pour free, indiquez simplement smtp.free.fr.

Adresses de destination

Les adresses où seront envoyés les mails s’indiquent dans le fichier /etc/mail_secu.txt. Indiquez sur une ligne les adresses séparées par des virgules.

Si vous n’indiquez qu’une seule adresse, inutile d’ajouter une virgule.

Nom FQDN

Votre machine ne peut envoyer des mails que vers un serveur qui l’autorise. Pour cela, il faut qu’elle soit identifiée, et c’est son nom d’expéditeur qui est utilisé.

Si vous possédez un nom de domaine, éditez le fichier /etc/mailname et indiquez le nom de votre ordinateur ainsi: machine.mondomaine.org.

Identifiez correctement votre ordinateur, ce nom apparaît dans les courriers qui vous sont envoyés et vous permettront de vous y retrouver si vous recevez les logs de plusieurs serveurs.

Lancement en console

Vous pouvez lancer manuellement le programme pour envoyer les logs immédiatement ou pour vérifier son fonctionnement. En cas de problème, celui ci vous est affiché (en anglais) et vous permettra de rechercher une solution.

Dans un terminal, entrez: sudo sendlog

(le programme doit être lancé en root pour pouvoir accéder aux fichiers de log)

Programmation

A l’installation, le programme a paramétré le cron de root afin de lancer l’envoi de mail tous les jours à minuit. Pas avant, sinon il vous manquerait du contenu dans les logs du jour, pas après, sinon ce serait les logs du lendemain.

Faites quelques essais, mais n’envoyez pas beaucoup de mails en peu de temps, cela risquerait de vous faire mettre en quarantaine par votre FAI.

Une fois le logiciel paramétré, il n’y a plus à y toucher.

Servez vous, c’est GPL!

Créer un miroir local Ubuntu

Cet article va vous apprendre à créer un miroir local d’un dépôt Ubuntu sur un ordinateur équipé d’Ubuntu Hardy Heron 8.04.

Les raisons du miroir

Dans mon cas, il s’agit de pouvoir installer des logiciels sur l’ordinateur même lorsque l’accès au net est impossible (train, correspondances…) et de pouvoir mettre sur un réseau le miroir générer pour les mises à jour. Sans compter que le miroir local permet une rapidité d’accès sans commune mesure avec un miroir sur le net.

Synoptique

J’ai la chance d’avoir un portable avec de la place sur le disque dur. Sachez qu’il faut compter environs 37 Go de libre pour le miroir de Hardy aujourd’hui. 40 est un minimum, dans mon cas ce sera 52 Go.

Le portable étant connecté au réseau toutes les nuits, il se mettra à jour vers 6 heures du matin, une heure où je suis sensé dormir.

L’installation d’un serveur apache permettra un accès facile pour les autres ordinateurs du réseau.

Préparation du miroir

Dans mon cas, il s’agit d’une partition dédiée (sda9) . Comme je possède déjà un autre miroir local sur mon réseau, et afin de sauvegarder de la bande passante et du temps, j’effectue une synchronisation entre le miroir local existant et la partition sda9.

Cette étape n’est absolument pas obligatoire mais mon réseau local Gigabit étant bien plus rapide que le net à 10 Mb, j’aurais tort de m’en priver.

Installation du logiciel

sudo apt-get install apt-mirror

Il faut maintenant éditer le fichier /etc/apt/mirror.list afin d’adapter le fonctionnement à la machine.

Le fichier est simple et parlant :

  • set base_path : emplacement où seront copiés les fichiers. Par défaut, ce sera /var/spool/apt-mirror (1). Dans mon cas, ce sera /ubuntu, emplacement où est monté sda9.

Puisque nous avons modifié la chemin par défaut, et que les répertoires nécessaires sont créés lors de l’installation du programme, il faut créer dans /ubuntu les répertoires mirror, skel, var, puis donner les droits sur ces répertoires à l’utilisateur apt-mirror (ce que nous ferons en dernier).

mkdir -p /ubuntu/mirror /ubuntu/skel /ubuntu/var

Comme nous avons modifié les chemins, copions le fichier de nettoyage au nouvel endroit:

cp /var/spool/apt-mirror/var/clean.sh /ubuntu/var/clean.sh

Ne touchez pas aux chemins suivants du fichier de configuration à moins que vous ne sachiez ce que vous faites.

  • set defaultarch: Prend l’architecture du serveur par défaut. Cela correspond à l’architecture voulue du miroir . Dans mon cas: i386
  • set nthreads: 20 par défaut. Définit le nombre de threads qui téléchargeront en parallèle lors de la mise à jour du miroir. Inutile de trop monter ce chiffre: si vous saturez votre bande passante, chaque thread sera limité et vous téléchargerez moins vite tout en consommant plus de processeur.
  • set _tilde (ou set tilde sur les versions avant la 8.04): par défaut 0. Si vous le mettez à 1, permet de remplacer http://addr/~/xxx/yyy par http://addr/%7E/xxx/yyy (sans doute plus portable).

Viennent ensuite les lignes définissant les miroirs que vous voulez cloner en local. Dans mon cas, voici les lignes existantes:

deb http://be.archive.ubuntu.com/ubuntu hardy main restricted universe multiverse
deb http://be.archive.ubuntu.com/ubuntu hardy-updates main restricted universe multiverse
deb http://be.archive.ubuntu.com/ubuntu hardy-security main restricted universe multiverse
deb http://be.archive.ubuntu.com/ubuntu hardy-backports main restricted universe multiverse

#deb-src http://be.archive.ubuntu.com/ubuntu hardy main restricted universe multiverse
#deb-src http://be.archive.ubuntu.com/ubuntu hardy-updates main restricted universe multiverse
#deb-src http://be.archive.ubuntu.com/ubuntu hardy-backports main restricted universe multiverse
#deb-src http://be.archive.ubuntu.com/ubuntu hardy-security main restricted universe multiverse
#deb-src http://be.archive.ubuntu.com/ubuntu hardy-proposed main restricted universe multiverse


clean http://be.archive.ubuntu.com/ubuntu

La (ou les ) dernière(s) ligne(s) doivent commencer par clean et concerner les miroirs clonés. Elle permettra (pas toujours) de nettoyer le miroir local des paquets n’ayant plus lieu d’être. J’ai pu constater que le lancement manuel de la commande de nettoyage du miroir était plus efficace (au moins sur les versions précédentes de apt-mirror).

Note: pourquoi utiliser les miroirs belges plutôt que les français, puisque je suis en france ? J’ai pu constater que les miroirs français étaient souvent plus longs à répondre et saturés. Je n’ai jamais eu de problèmes avec les miroirs belges. Sans compter qu’il est probable que les linuxiens belges soient moins nombreux que les linuxiens français, d’où une réponse plus rapide. Ou aient des réseau plus adaptés.

Donner les droits sur le répertoire: sudo chown -R apt-mirror:apt-mirror /ubuntu

Mise à jour

Très simple!

  • Soit manuellement en lançant la commande apt-mirror
  • Soit automatiquement par le cron:0 6 * * * /usr/bin/apt-mirror
(1) Au passage, comment saturer une partition var, bloquer les impressions cups, ce qui va saturer /var/log d’erreurs et finir par bloquer le système….

Installer un serveur LAMP avec Ubuntu

Un serveur LAMP signifie Linux Apache Mysql Php. Il est possible d’installer et configurer chacun des services manuellement, mais il existe une autre façon plus simple et moins connue de faire tout ceci en une seule fois.

Dans un terminal, entrez ceci:

sudo tasksel install lamp-server

Et c’est tout!

Ou alors:

sudo tasksel

tasksel

Et sélectionnez LAMP server, ou tout autre service que vous désirez installer.

Utiliser les polices Microsoft(r)

Sous linux, il est nécessaire d’avoir les polices de Microsoft® pour afficher correctement certains textes, ou simplement pouvoir lire le texte.

Dans un document texte, le fait de ne pas avoir les polices adéquates est gênant mais non bloquant; la mise en page est modifiée puisque des polices « équivalentes à l’aspect » sont automatiquement utilisées mais elles n’ont pas forcément le même empattement. Le document reste malgré tout lisible dans son contenu.
Avec des applications fonctionnant avec Wine, le problème est que si vous n’avez pas les polices installées dans Wine, vous n’aurez aucun affichage. Difficile, donc, de cliquer sur le bon bouton.

Aller trouver la police

Il est cependant facile de trouver ces polices:

  • Si vous avez un windows quelque part (même virtuel), vous pouvez copier les polices du dossier C:\Windows\Fonts
  • Si vous avez Ubuntu, l’installation du paquet msttcorefonts installe les polices dans votre linux
  • Vous pouvez les télécharger depuis le site http://freefr.dl.sourceforge.net/project/corefonts/the fonts/final/ et les extraire avec le programme cabextract (cabextract lapolice.exe)

Ne reste plus qu’à les placer dans le bon répertoire et à éventuellement (pour linux) regénérer le cache des polices avec fc-cache -rfv

Have fun!

Plus d’infos:

Plus de polices:

Attention! Vérifier que les polices que vous installez intègrent les caractères accentués avant de les utiliser pour vos documents.

Utiliser les polices de Vista:

Résoudre Error: no « view » mailcap rules found for type « application/octet-stream »

Depuis ubuntu 7.10, le paquet xdg-utils qui offre le programme xdg-open a un bug qui ne lui permet plus de lancer les applications.

Le programme sort avec une erreur de ce type:

Warning: unknown mime-type for "/var/log/messages" -- using "application/octet-stream"
Error: no "view" mailcap rules found for type "application/octet-stream"

Pour retrouver un fonctionnement normal dans Jaunty et Karmic, il faut éditer le fichier /usr/bin/xdg-open et aller vers la ligne 383 et 384 pour commenter les lignes comme ci dessous.

 	if [ $? -eq 0 ]; then
 	    exit_success
#	else
#	    exit_failure_operation_failed
 	fi
     fi

Sauvegardez, et vous pourrez à nouveau profiter des programmes tels que GnomeDo et de tous ceux qui utilisent xdg-open.

Supprimer Bluebirds.exe des lecteurs LG

Les Oiseaux bleus attaquent!

Merci LG!

Pour un coup d’essai, c’est raté. Vouloir se lancer dans le logiciel quand on n’a pas l’expérience et  imposer SON logiciel de gravure à ses utilisateurs, pour une bourde, je considère que c’en est une.bluebirds

Quand vous achetez un lecteur/graveur LG Super Multi DVD rewriter modèle GH22NS50 ou GH22LS50, vous avez la surprise de voir votre système d’exploitation vous indiquer que vous avez un disque nommé Bluebirds dans le lecteur.

Et quand vous ouvrez le lecteur…Pas de disque! Rien! Et Bluebirds disparait bien du bureau.

Si vous introduisez un disque, il affiche bien le disque correct, mais sans disque…Bluebirds!

En fait, la ROM du lecteur se fait passer pour un disque. Vous pouvez l’explorer et vous y trouverez autorun.inf, BlueBirds.exe, Drag&Burn.exe et Setup.exe

Ces exécutables sont la « added feature »¹ fournie par LG pour vous « offrir » leur logiciel de gravure. Alors que le graveur est fourni avec un CD comprenant Nero ou les LG burning tools et les LG power tools…

Alors, ce qui est intelligemment réfléchi, c’est qu’avec Windows ou Linux, et j’imagine que c’est pareil avec Mac, vous avez en permanence un volume monté sur le bureau. Ou vous avez en permanence le lecteur ouvert…

Heureusement, Grâce soit rendue à LG, ils nous ont fourni un utilitaire pour flasher la ROM et supprimer cet oiseau bleu. Et vous pourrez le trouver ici (Onglet « Drivers and Softwares »). Et, bien sûr, l’utilitaire fourni ne fonctionne que sous Windows.

Ycompris avec windows

Ycompris avec windows

Encore une fois, merci LG!

Bon, comment faire pour s’en débarasser ? 3 Solutions:

  1. – Installer le lecteur sur une machine avec Windows (32 bit seulement, en 64 ça ne fonctionnera pas) et utiliser leur outil de désinstallation ²
  2. – Essayer avec VirtualBox pour tenter le flashage
  3. – Modifier le fonctionnement de HAL pour faire disparaitre ce satané Bluebird

Bien sûr, ne possédant plus de Windows depuis plusieurs années, c’est la dernière méthode que je vous livre ici.

Supprimer Bluebirds.exe

Créez un nouveau fichier texte sur le bureau que vous nommerez eradicate_bluebirds.fdi et copiez y ceci:

<?xml version="1.0" encoding="UTF-8"?> <!-- -*- SGML -*- -->

<deviceinfo version="0.2">

<device>
<match key="volume.label" string="Bluebirds">
<merge key="volume.ignore" type="bool">true</merge>
</match>
</device>

</deviceinfo>

Faites attention à la casse du nom. En effet, cela ne fonctionnera pas si vous ne mettez pas la majuscule puisque le disque ne sera pas identifié de la même façon que vous le signalez dans le fichier.

Ensuite, en console, tapez les lignes suivantes:

sudo mv ~/Desktop/eradicate_bluebirds.fdi /etc/hal/fdi/policy
sudo /etc/init.d/hal restart

Vous n’êtes même pas obligé de redémarrer votre ordinateur (mais vous pouvez le faire si vous le désirez). Si l’icone est encore visible sur votre bureau, il vous suffit de faire un clic droit dessus et de démonter le volume. Ce sera suffisant.

Ceci ne supprime pas le problème du lecteur qui s’identifie comme le disque Bluebirds. Cela va simplement faire en sorte que le système ignore tout disque qui se nommerait Bluebirds. Vous n’aurez ainsi plus le disque en permanence monté et visible sur le bureau.

Attention, en cas de réinstallation, il faudra recommencer…

Mise à jour du 22 Aout:

Il semblerait que l’outil fourni ne fonctionne pas avec les lecteurs OEM. Merci LG!
Du coup, il est possible de faire disparaitre Bluebirds quand on est sous linux, mais pas sous Windows.


1 - Fonction apportant un plus. Ce qui justifierait l'achat de CE lecteur plutôt qu'un autre. Quand je disais que c'était raté.
2 - Si vous arrivez à le télécharger, le site de LG étant très anti-ergonomique et utilise des ActiveX, donc, accessible seulement avec IE...

Installer la dernière version de Wine

winehq_logo_glassWine est un programme qui permet de faire croire à certains exécutables qu’ils fonctionnent sur un environnement windows alors qu’ils tournent en fait sur GNU/Linux, BSD, Solaris ou MacOs.

Dans les dépôts de Jaunty Jackalope, vous accédez à la dernière version stable de Wine, la version 1.0.1, mais vous pourriez avoir besoin d’installer la version de développement qui est, à l’écriture de cet article, la version 1.1.24.

Il suffit alors de suivre les étapes suivantes:
– Ajoutons la clef du dépôt de développement de wine:

wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add -

– Ajoutons le dépôt dans la liste des sources:

sudo wget http://wine.budgetdedicated.com/apt/sources.list.d/jaunty.list -O /etc/apt/sources.list.d/winehq.list

– Actualisons les sources:

sudo apt-get update

– Installons wine:

sudo apt-get install wine

Lorsqu’il n’existe pas d’équivalent linux d’un logiciel, Wine peut dépanner, mais gardez en tête que ce n’est qu’un pis aller (sans dénigrer le travail effectué par l’équipe de wine!) qui peut apporter plus d’inconvénients que d’avantages, en particulier au niveau sécurité (les virus aussi peuvent fonctionner avec Wine…).

Lire les mails de cron avec son lecteur de messagerie

Vous pouvez simplement lire vos mails système avec votre lecteur de messagerie, après quelques manipulations.

Explications sur le fonctionnement:

Si les opérations effectuées avec le crontab de root renvoient des informations, cron les envoie par mail à l’utilisateur root.

Root n’étant pas sensé se connecter, ces mails sont transférés à un des utilisateurs du système. Par défaut, il s’agit de l’utilisateur que vous avrez créé lors de l’installation système, mais vous pouvez le changer en modifiant le contenu du fichier /etc/aliases:

# Added by installer for initial user
root:	manu

Dans ce cas, c’est l’utilisateur manu qui va hériter des mails système à destination de root.

Attention: sur certaines versions, et en particulier la Jaunty 9.04, le fichier ne contient pas le nom d’utilisateur. Tout est renvoyé à root, mais root ne renvoie vers personne:

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
clamav: root
root: manu

Il suffira d’ajouter « root: manu » tel que ci dessus pour que l’utilisateur manu accède aux mails système.

Ces mails sont lisibles en console par l’intermédiaire, par exemple, de la commande mail (disponible dans le paquet mailutils). Mais il faut reconnaître qu’il serait plus pratique de les avoir dans le lecteur de messagerie même, puisque celui ci est ouvert régulièrement.
La méthode ci dessous n’est utile et exacte que si vous n’installez pas de serveur imap ou pop sur cette machine même pour y lire les mails (par défaut, dans 99,9% des cas).

Paramétrage du client de messagerie

La méthode est donnée ici pour Mozilla-Thunderbird, mais il est simple de l’adapter pour un autre lecteur de messagerie installée sur le système capable de lire le format Movemail¹ (testé avec Evolution et mutt).

  • Ouvrez votre lecteur de messagerie.
  • Si c’est la première ouverture, il vous est proposé de créer un nouveau compte. Dans le cas contraire, rendez vous dans le menu Edition / Paramètres des comptes … puis cliquez sur Ajouter un compte.
  • Dans le paramétrage d’un nouveau compte, sélectionnez Unix Mailspool (Movemail), puis cliquez sur suivant.
  • Sélection du type de compte

    Sélection du type de compte

  • Dans la fenêtre Identité, indiquez votre nom d’utilisateur (normalement déjà rempli). L’adresse de courrier n’a que peu d’importance (vous n’enverrez pas de courrier depuis ce compte), elle servira principalement à identifier ce compte dans la liste des comptes paramétrés.
  • S’il vous est demandé un serveur smtp, vous pouvez indiquer celui de votre FAI (souvent de la forme smtp.fai.fr). Si vous aviez déjà des comptes, le serveur smtp que vous aviez précédemment indiqué sera utilisé. Si votre ordinateur n’est pas connecté à internet ou n’envoie pas de mails par l’intermédiaire du lecteur de messagerie, vous pouvez mettre seulement « smtp » pour que la configuration puisse être finalisée.
  • Indiquez le nom du compte tel que vous désirez qu’il apparaisse dans la liste si la proposition ne vous convient pas.
  • Cliquez sur Terminer à l’affichage du résumé.

Il suffit désormais de relever le courrier pour pouvoir lire normalement les mails système et surveiller le fonctionnement de l’ordinateur.

Limitations

  • Les mails ne peuvent être lus QUE depuis la machine sur laquelle ils se trouvent. Pour les récupérer d’une autre machine, il faudra installer un serveur POP ou IMAP afin que le lecteur de messagerie de l’ordinateur client puisse accéder à ces mails. Cela fera l’objet d’un prochain article.
  • Il est possible d’envoyer les mails sur une autre adresse en indiquant l’adresse de destination pour l’alias du root dans le fichier /etc/aliases ainsi: root: manu@fai.fr. Cela oblige, par contre, l’ordinateur à posséder un système d’envoi de mails externes, tel que postfix ou exim4, paramétré correctement. Lorsque ce n’est pas nécessaire (si l’ordinateur est sur un réseau que je contrôle), je préfère éviter d’avoir un système d’envoi de mails que je serais obligé de maintenir et contrôler. En particulier si un logiciel s’affole et envoie plusieurs centaines de messages au système en quelques minutes (vécu), le risque de passer pour spammeur est grand!

Messages d’erreur

Impossible de localiser le fichier de spool du courrier

Impossible de localiser le fichier de spool du courrier

Ce message vous indique que le fichier /var/spool/mail/user n’existe pas. Il peut ne pas exister pour 2 raisons principales:²

  • L’utilisateur n’est pas déclaré comme devant recevoir les messages de root dans le fichier /etc/aliases
  • Aucun mail n’a été envoyé par le système, donc il n’y a pas de fichier contenant les mails…
Impossible de créer les verrours

Impossible de créer les verrours

Ce message vous informe que les droits ne sont pas corrects. Dans une console, la commande sudo chroot 01777 /var/spool/mail résoudra le problème.

¹ Opera mail ne semble pas pouvoir être utilisé pour accéder à ce type de compte mail.

² Assurez vous que la partition /var est montée, accessible à l’utilisateur, droits corrects, etc…

Identifier son système sous linux

Lorsque l’on doit faire une mise à jour du bios de son ordinateur, il est plus rassurant (et plus fiable) d’avoir le maximum d’informations sur son matériel.

Avec Debian/Ubuntu, vous pouvez obtenir ces informations facilement en installant le paquet libsmbios-bin et en utilisant la commande getSystemId (via sudo!)

exemples:

pour mon Aspire One (jaunty)

Libsmbios version:      2.2.13
Product Name:           AOA150
Vendor:                 Acer
Version du BIOS:        v0.3114
System ID:              0x0000
Service Tag:            xxxxxxxxxxxxxxxxxxxxx
Express Service Code:   xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Asset Tag:
Property Ownership Tag:

Pour mon Fujitsu Amilo (hardy):

Libsmbios:    0.13.10
Error getting the System ID   :
Error getting the Service Tag : std::exception
Product Name: AMILO Xa 2528
BIOS Version: 1.0L-4C15-000F
Vendor:       FUJITSU SIEMENS
Is Dell:      0

Un serveur Web (hardy):

Libsmbios:    0.13.10
Error getting the System ID   :
Error getting the Service Tag : std::exception
Product Name: EPIA
BIOS Version: 6.00 PG
Vendor:       VIA TECHNOLOGIES, INC.
Is Dell:      0

Une VirtualBox (jaunty):

Libsmbios version:      2.2.13
Product Name:           VirtualBox
Vendor:                 innotek GmbH
Version du BIOS:        VirtualBox
System ID:              0x0000
Service Tag:            0
Express Service Code:   0
Asset Tag:
Property Ownership Tag:

Pour les développeurs python, vous noterez que ça vous installe d’office python-libsmbios. Je vous laisse imaginer tous les usages possibles pour vos applications.

CIFS VFS: Server not responding

Sur l’une de mes machines avec Ubuntu Hardy 8.04 (mais d’après google, cela se produit aussi avec d’autres versions), à l’arrêt et au redémarrage, l’ordinateur mettait plusieurs minutes à s’arrêter ou redémarrer et affichait le message suivant:


CIFS VFS: Server not responding
CIFS VFS: no response for cmd 50 mid xxx

(avec xxx étant des chiffre variables).

Pourtant, avant la réinstallation avec le même CD, aucun problème à déplorer. Pas plus que sur les 5 autres postes installés avec le même CD et toutes les mises à jour effectuées.

Il semblerait que les démontages des partages SAMBA et NFS ne s’effectuent pas correctement.

La solution, fonctionnelle pour moi, a été de modifier les scripts à l’arrêt et au redémarrage de l’ordinateur, soit:

sudo mv /etc/rc0.d/S31umountnfs /etc/rc0.d/K31umountnfs
sudo mv /etc/rc6.d/S31umountnfs /etc/rc6.d/K31umountnfs

Pourquoi par défaut, lors de l’arrêt, ces scripts sont en position start ? D’autant que le start, dans le code, n’effectue absolument rien, mais le stop effectue bien les démontages! Mystère…

Htop toujours disponible

htop-05Données du problème

J’ai un serveur avec écran, dans une armoire fermée à clef avec un porte transparente qui démarre sans interface graphique. Je souhaitais faire apparaître un htop systématiquement à chaque démarrage.

Méthode testée sur Ubuntu, mais pouvant certainement être adaptée à d’autres distributions.

Il suffit de mettre le code suivant dans le fichier /etc/event.d/tty1

# tty1 - getty
#
# This service maintains a getty on tty1 from the point the system is
# started until it is shut down again.
 
start on stopped rc2
start on stopped rc3
start on stopped rc4
start on stopped rc5
 
stop on runlevel 0
stop on runlevel 1
stop on runlevel 6
 
respawn
exec /sbin/getty 38400 tty1 -nl /usr/bin/htop

Attention

  • Dans cette configuration, le clavier est actif. Il est donc utilisable par n’importe quel utilisateur accédant au clavier.
  • Le logiciel est lancé en root! Donc, si le clavier est accessible, n’importe quel utilisateur peut killer un processus appartenant à un autre (même init!)
  • htop consomme de la mémoire et de la puissance processeur. Même si c’est relativement peu, c’est à prendre en compte.

Du fait que le clavier est inacessible, dans mon cas, cela n’est pas un problème, mais c’est à garder en tête avant d’activer cette fonctionalité.

Update du 24/01/2011

Depuis que la version de Upstart a changé sur Ubuntu, cela ne fonctionne plus exactement de la même manière:

  • Il faut modifier le fichier /etc/init/tty1.conf
  • Il faut remplacer la ligne exec /sbin/getty -8 38400 tty1 par exec /usr/bin/htop </dev/tty6 >/dev/tty6
  • Le clavier est toujours actif! Attention: si vous avez installé GPM, la souris l’est aussi et permet d’utiliser les menus de htop! Pensez à la mettre sous clef.

Filtrer les connexions ssh

Portier SSH

Si vous possédez un serveur avec SSH opérationnel, vous ne serez pas long à avoir des messages tels que ceux ci dans le fichier /var/log/auth.log:

...
Mar 11 12:48:21 serv sshd[12956]: Failed password for invalid user root from 64.71.148.162 port 47270 ssh2
Mar 11 15:45:04 serv sshd[6954]: Did not receive identification string from 210.21.30.72
Mar 11 15:46:48 serv sshd[7041]: Did not receive identification string from 81.93.188.5
Mar 11 15:47:50 serv sshd[7106]: User root from 210.21.30.72 not allowed because none of user s groups are listed in AllowGroups
Mar 11 15:47:50 serv sshd[7106]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.21.30.72  user=root
Mar 11 15:47:52 serv sshd[7106]: Failed password for invalid user root from 210.21.30.72 port 54346 ssh2
Mar 11 15:49:33 serv sshd[7241]: User root from 81.93.188.5 not allowed because none of user s groups are listed in AllowGroups
Mar 11 15:49:33 serv sshd[7241]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=81.93.188.5  user=root
Mar 11 15:49:35 serv sshd[7241]: Failed password for invalid user root from 81.93.188.5 port 44663 ssh2
Mar 12 00:51:18 serv sshd[22229]: User root from host.ongamemarketing.com not allowed because none of user s groups are listed in AllowGroups
Mar 12 00:51:18 serv sshd[22229]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host.ongamemarketing.com  user=root
Mar 12 00:51:20 serv sshd[22229]: Failed password for invalid user root from 174.133.12.130 port 48089 ssh2
Mar 12 00:51:22 serv sshd[22236]: User root from host.ongamemarketing.com not allowed because none of user s groups are listed in AllowGroups
Mar 12 00:51:22 serv sshd[22236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host.ongamemarketing.com  user=root
Mar 12 00:51:24 serv sshd[22236]: Failed password for invalid user root from 174.133.12.130 port 48521 ssh2
Mar 12 01:47:10 serv sshd[30827]: Did not receive identification string from 114.200.199.144
Mar 12 01:53:17 serv sshd[31227]: Invalid user staff from 114.200.199.144
Mar 12 01:53:17 serv sshd[31227]: pam_unix(sshd:auth): check pass; user unknown
Mar 12 01:53:17 serv sshd[31227]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.200.199.144
Mar 12 01:53:19 serv sshd[31227]: Failed password for invalid user staff from 114.200.199.144 port 35343 ssh2
Mar 12 01:53:27 serv sshd[31234]: Invalid user sales from 114.200.199.144
...

Vous avez besoin de pouvoir vous connecter en ssh depuis le réseau local, depuis l’extérieur, mais vous voulez limiter les risques. Il existe plusieurs solutions, qui peuvent être cumulées:

Sécuriser par la configuration de SSH

N’autoriser QUE certains utilisateurs à accéder au service

Si vous avez peu d’utilisateurs nécessitant un accès ssh, vous pouvez les déclarer ainsi en ajoutant cette ligne dans le fichier de configuration /etc/ssh/sshd_config (et en redémarrant le service après chaque modification)

AllowUsers titi toto

Après relance du service ssh, les utilisateurs titi et toto pourront se connecter en ssh, les autres utilisateurs se verront refuser leur mot de passe.

Vous pouvez aussi créer un groupe (par exemple: sshusers) et autoriser tous les utilisateurs de ce groupe à se connecter en ssh. Ceux n’appartenant pas à ce groupe se verront refuser leur mot de passe.

addgroup sshusers
adduser toto sshusers
adduser titi sshusers

Puis ajoutez la ligne suivante dans /etc/ssh/sshd_config:

AllowGroups sshusers

IN and OUT

Oui, mais voilà un nouveau problème:

  1. Le serveur fait passerelle avec internet, et possède une carte sur le réseau interne, et une carte vers le réseau internet.
  2. Tous mes utilisateurs internes doivent pouvoir accéder par ssh (ce qui est le cas avec la configuration par défaut), mais ne doivent pas pouvoir accéder depuis l’extérieur (parce qu’ils n’en ont pas besoin, ou parce que les mots de passe des utilisateurs sont trop simples)
  3. Si je laisse la configuration ainsi, le serveur sera piraté très rapidement.

Il est possible d’ajouter une directive à la liste des autorisations, permettant de faire ceci:

AllowUsers *@192.168.0.*

Ainsi, tous les utilisateurs du réseau local (et possédant un compte sur le serveur) pourront accéder par ssh, mais ne pourront pas le faire s’ils ne proviennent pas du réseau local (par internet).
Si je veux pouvoir ensuite me connecter depuis l’internet pour faire de la télémaintenance, il me suffit d’ajouter mon compte et de transformer la ligne en ceci:

AllowUsers manu *@192.168.0.*

(1)

Il est possible aussi de cumuler les directives Users et Groups pour obtenir des possibilités supplémentaires. Exemple:

  1. Seuls certains de mes utilisateurs locaux doivent pouvoir se connecter au serveur, depuis le net ou en local.
  2. Je veux pouvoir m’y connecter de partout (local et internet)

La configuration est la suivante:

AllowGroups sshusers
AllowUsers manu

Ainsi, seuls les utilisateurs appartenant au groupe sshusers pourront se connecter au serveur, en plus de l’utilisateur manu qui pourra se connecter depuis n’importe où.

Si je possède un adresse IP fixe, et que je suis assez bête pour crée un compte manu avec le mot de passe manu, je peux tout de même limiter l’accès par mon adresse IP (80.80.80.80)

AllowUsers @80.80.80.80

Je suis désolé, ça va pas être possible…

Vous pouvez même ajouter des directives inverses, pour interdire les connexions:

DenyUsers invite
DenyGroups stagiaires

Autres configurations conseillées de ssh

Vous pouvez modifier d’autres éléments du fichier de configuration, qui permettront de sécuriser un peu plus votre serveur ssh:

  • Changer le port d’écoute par défaut: vous pouvez changer ce port par autre chose que 22. Sachez cependant que la protection apportée par ce changement est TRÈS FAIBLE. Un scan de vos port repérera le port que vous avez choisi, et des logiciels de scans sont capable de déterminer le service qui tourne derrière ce port. Cela vous permettra seulement d’échapper à certains robots qui ne tentent des connexions que sur le port 22.
  • N’autoriser une identification que par clef: il vous faudra générer des clefs d’identification (avec seahorse pour gnome ou ssk-keygen) pour tous vos utilisateurs et empêcher l’autentification par mot de passe dans la configuration de SSH. Cette protection est très efficace, par contre, il faut que les clefs soient sécurisées (pas sur une clef usb qui peut se perdre ou se faire voler, pas sur un partage accessible, pas échangées par courriel, …). L’autre inconvénient, c’est que vos clefs doivent voyager avec vous et être installées sur les ordinateurs que vous utilisez; d’où une incompatibilité avec le point précédent, si vous n’avez pas une politique stricte de stockage des clefs.
  • Ne JAMAIS autoriser la connexion de l’utilisateur root: (PermitRootLogin no).  Il y a toujours un utilisateur root sur tous les Linux (même sur Ubuntu) et vous facilitez le travail d’un éventuel pirate, puisqu’il n’a qu’un mot de passe à trouver. Autrement, il doit d’abord trouver un login valide, puis son mot de passe, puis celui du root. Si vos mots de passe et vos logins sont adaptés, cela lui prendra des années avant d’y arriver par ce moyen.

Ajouter des logiciels de sécurisation

fail2ban

fail2ban est un logiciel qui va surveiller les tentatives de connexion échouées dans le fichier /var/log/auth.log , et bloquer, en modifiant les règles iptables à la volée, un nombre trop élevé de connexions échouées. Ce logiciel permet aussi, de la même manière, de protéger votre serveur apache, postfix, vsftpd, proftpd, wuftpd, sasl, dns, …
Une fois installé, il vous suffit d’éditer le fichier /etc/fail2ban/jail.conf pour configurer son comportement. Exemple pour ssh:

...
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = <a class="linkification-ext" title="Linkification: http://10.0.0.0/24" href="http://10.0.0.0/24">10.0.0.0/24</a>
bantime  = 600
maxretry = 3
...
[SECTION_NAME]
enabled = true # vérifier que cette valeur est à True, sinon le logiciel n'est pas activé!
...
[ssh]
enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 6

Dans cette configuration:

  • Tout ce qui vient du réseau local (10.0.0.0/24) est ignoré. Donc je pourrais me tromper autant de fois que voulu, je ne me ferais pas bannir.
  • En dehors de mon réseau local, par ssh, j’ai droit à 6 tentatives (par session) de connexions échouées. Ensuite, je me ferais bannir. Si je m’identifie, la fois suivante, j’ai encore droit à 6 tentative (ça repart à zéro avec l’identification réussie)
  • Si je suis banni, toutes mes tentatives de connexions pendant les 600 prochaines secondes (10 minutes) seront refusées, sans possibilité d’identification.

La configuration de fail2ban vous offre plein d’autres possibilité, comme de recevoir des mails en cas de tentatives échouées, d’utilisateurs inconnus, etc. Consultez la documentation pour exploiter cet outils très pratique.

denyhosts

denyhosts permet de faire la même chose, un peu différemment. Il maintient une base d’IP bannies dans /etc/hosts.deny et les compare avec les tentatives de connexions.

Il a quelques avantages sur fail2ban, même si je le trouve plus lent (consommateur) à l’usage:

  1. Il permet de bloquer les tentatives d’accès ssh sur l’utilisateur root dès la première tentative.
  2. Il permet de paramétrer comme on le veut les champs from et subject des mails envoyés
  3. Il permet d’envoyer les rapports vers le syslog, qui peut être distant (et ineffaçable)

Simple à configurer, le fichier /etc/denyhosts.conf est largement commenté

Sur le même sujet:

(1) Ne pensez pas que je suis assez bête pour utiliser un login simple tel que « manu » sur mes serveurs… C’est juste pour l’exemple.

Changer les applications par défaut dans Gnome

Lorsque vous introduisez pour la première fois un CD audio dans votre lecteur, Gnome vous demande avec quelle application l’ouvrir. Vous pouvez même lui demander, en cochant la case,  de s’en souvenir pour la prochaine fois.

application-par-defaut

application-par-defaut

Mais si vous désirez changer d’application, comment faut il faire ? Encore une fois, avec le libre, c’est simple si vous savez où aller chercher l’information.

La liste des associations entre les type de fichiers et les applications à lancer se trouvent dans le fichier ~/.local/share/applications/mimeapps.list (ces dossiers et fichiers ne sont présents qu’une fois que vous avez créé au moins une association)

Ce fichier se compose ainsi:

[Added Associations]
x-content/audio-cdda=vlc.desktop;

Si je désire changer l’application associée aux fichiers audio CD, il me suffit de modifier le fichier pour lui donner le nom du lanceur de l’application voulue.

Voici un autre exemple de fichier sur un ordinateur utilisé quotidiennement:

[Added Associations]
application/x-shellscript=userapp-kwrite-MEM3AU.desktop;gedit.desktop;
application/x-extension-inf=gedit.desktop;
application/x-designer=userapp-designer-qt4-YG48AU.desktop;
text/x-python=userapp-wing-101-3.1-NFH9NU.desktop;userapp-wing-101-3.1-SGDVNU.desktop;gedit.desktop;userapp-python-CDV5AU.desktop;
video/x-mng=gimp.desktop;
image/svg+xml=inkscape.desktop;
audio/x-vorbis+ogg=userapp-audacity-ENNGCU.desktop;
image/x-ico=gimp.desktop;
application/x-executable=userapp-wine-HQHEDU.desktop;userapp-bash-V6E5CU.desktop;
application/msword=ooo-writer.desktop;kwrite.desktop;gedit.desktop;
application/pdf=userapp-kpdf-8V7VLU.desktop;evince.desktop;gimp.desktop;
application/x-cd-image=userapp-vlc-Z4WYDU.desktop;
application/x-extension-2008=eog.desktop;
application/octet-stream=eog.desktop;
application/x-dia-diagram=dia-common.desktop;
application/x-extension-dat=gedit.desktop;
application/x-extension-QCM=ooo-template.desktop;
text/html=firefox.desktop;geany.desktop;
text/css=geany.desktop;
image/x-xcf=
image/png=eog.desktop;
text/x-gettext-translation=poedit.desktop;userapp-poedit-8NECLU.desktop;
application/x-flash-video=vlc.desktop;totem.desktop;
 
[Removed Associations]
application/x-shellscript=ooo-writer.desktop;wine.desktop;userapp-wine-HQHEDU.desktop;userapp-kwrite-3738AU.desktop;kde-kate.desktop;kde-kwrite.desktop;
text/x-python=ooo-writer.desktop;wine.desktop;userapp-wine-HQHEDU.desktop;userapp-eclipse-0HNYBU.desktop;
application/x-dia-diagram=opera.desktop;firefox.desktop;thunderbird.desktop;kde-kfmclient_html.desktop;geany.desktop;gedit.desktop;
image/x-xcf=userapp-inkscape-0BW2KU.desktop;
image/png=inkscape.desktop;
text/html=kwrite.desktop;ooo-writer.desktop;thunderbird.desktop;

Vous pouvez noter qu’on peut associer plusieurs applications à un type de fichier: ce seront les applications lancées si vous double cliquez sur un fichier. Si la première n’est pas trouvée, la deuxième sera lancée, et ainsi de suite.

Cette liste d’applications est celle que vous pouvez voir si vous faites un clic droit sur un fichier, que vous choisissez Propriétés et que vous allez dans l’onglet Ouvrir avec.

liste-des-applications-pour-html

liste-des-applications-pour-html

Si vous supprimez une des applications de la liste proposée (en cliquant sur le bouton Enlever de cette fenêtre), cette suppression d’association sera notée dans la liste [Removed Associations] du fichier  ~/.local/share/applications/mimeapps.list. Par exemple, nous voyons dans le fichier ci dessus (ligne 31) que les images au format png ne doivent pas être ouvertes avec le logiciel inskape.