Wiki doc - Contributions [fr]

Busybox

2026-05-09T21:25:14Z

Ycharbi : /* Via les sources */ Ajout d'une méthode pour compiler depuis un noyau >=6.8

[[Category:linux]]
[https://fr.wikipedia.org/wiki/BusyBox Busybox] est un exécutable regroupant une multitude d'utilitaires généralement disponibles via [https://fr.wikipedia.org/wiki/GNU_Core_Utilities GNU Core Utilities]. Il a l'avantage de ne prendre que très peu de place et peut être utilisé pour faire des [[Busybox_init|systèmes embarqués très simples]].

=Installation=
==Via le gestionnaire de paquet==
apt install busybox

==Via les sources==
Le paquet <code lang="bash" inline>build-essential</code> est nécessaire pour utiliser la commande <code lang="bash" inline>make</code>.

{{info|Depuis Linux 6.8, la compilation tombe en échec pour cause de macro <code>TCA_CQB_MAX</code> non définie. Le problème est [https://forum.beagleboard.org/t/errors-during-busybox-compilation/38969/6 connu] et est contournable en désactivant la fonction <code>CONFIG_TC</code> dans le <code>.config</code> des sources après avoir fait la commande <code>make defconfig</code>.}}

<syntaxhighlight lang="bash">
wget https://busybox.net/downloads/busybox-1.36.1.tar.bz2
tar xf busybox-1.36.1.tar.bz2
cd busybox-1.36.1/
make defconfig
# sed -i 's/CONFIG_TC=y/CONFIG_TC=n/g' .config
make
</syntaxhighlight>

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/applications/busybox/busybox-1.36.1.tar.bz2 nos fichiers].

{{astuce|Il est possible d'embarquer les dépendances nécessaires au fonctionnement de l'ensemble directement dans le binaire via la commande de compilation <syntaxhighlight lang="bash" inline>make LDFLAGS="--static"</syntaxhighlight> (ce dernier sera par conséquent plus lourd). Ceci est utile lorsque ''Busybox'' est intégré à un système dépourvu des bibliothèques en question.}}

Un exécutable ''busybox'' a été créé dans le répertoire courant.

La commande <code lang="bash" inline>make defconfig</code> permet de créer le fichier de configuration pour <code lang="bash" inline>make</code> (''.config''). Les commandes de pré-configurations possibles sont :
* '''make defconfig''' : Créé la configuration la plus saine possible. Ça active la plupart des fonctionnalités sans quelques outils de débogage ainsi que les outils nécessitants des modifications du système comme les noms de périphériques ''selinux'' ou ''devfs''. Utiliser cette option si vous voulez démarrer depuis un ''Busybox'' complet pour, par la suite, écrémer les fonctionnalités pour en avoir un plus petit.
* '''make allnoconfig''' : Désactive tout. Cela crée une petite version de ''Busybox'' qui ne fait rien. Commencez ici si vous savez exactement ce que vous voulez et que vous souhaitez sélectionner uniquement ces fonctionnalités.
* '''make menuconfig''' : Modifie interactivement le fichier ''.config'' via une interface de menu à plusieurs niveaux. Utilisez-le après l'un des deux précédents.
Les autres options sont :
* '''make oldconfig''' : Mettre à jour un vieux fichier ''.config'' pour une nouvelle version de ''Busybox''.
* '''make allyesconfig''' : Sélectionnez absolument tout. Cela crée une version statiquement liée de ''Busybox'' remplie de code de débogage, avec des dépendances sur ''selinux'', en utilisant des noms de ''devfs''... Cela s'assure que tout est compilé. Que le résultat fasse quelque chose d'utile ou non est une question ouverte.
* '''make randconfig''' : Créer une configuration aléatoire à des fins de tests.

=Socket réseau en utilisateur standard=
Par défaut, un système ''Linux'' n'autorise la création et la gestion d'un socket réseau que par l'utilisateur ''root''. Il peut être pratique de permettre certains exécutables à le faire via un utilisateur standard (c'est chiant d'avoir à taper le mot de passe ''root'' tout le temps). Pour ce faire, nous utiliserons les [[Linux capabilities]].

'''Autorisation de redirection réseau'''
setcap CAP_NET_BIND_SERVICE=+eip /bin/busybox

{{Astuce|On peut voir cette autorisation avec la commande <code>getcap /bin/busybox</code>.}}

Les utilisateurs standards peuvent désormais utiliser le serveur ''HTTP'' ou autres intégré à ''Busybox''.

==Source de la section==
* https://superuser.com/questions/710253/allow-non-root-process-to-bind-to-port-80-and-443/892391

=Usage=
Nous allons partir du principe que l'emplacement de notre binaire ''busybox'' se trouve dans notre variable d'environnement <code lang="bash" inline>$PATH</code>.

'''Lister les programmes disponibles dans notre Busybox'''
busybox

'''Afficher le manuel des outils contenus dans Busybox'''
man busybox

''Avec un <code lang="bash" inline>/</code> suivi du nom de la commande + <code lang="bash" inline>entrer</code> + <code lang="bash" inline>n</code> on tombe directement sur le manuel de l'outil désiré.''

==Serveur WEB==
'''Utiliser le serveur WEB intégré'''
busybox httpd -f -v -h /tmp/foo/

''Le serveur httpd ne liste pas les fichiers, il faut entrer une URL complète comme pour le TFTP. Cependant, il redirige automatiquement sur un index.html si présent.''

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur web avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les IP des clients se connectant et le message renvoyé par le serveur
* '''-h''' : Spécifie le répertoire de travail du serveur. Si ce paramètre n'est pas renseigné, le répertoire courant est utilisé

==Serveur DHCP==
'''Créer le fichiers du processus'''
touch /tmp/udhcpd.pid

'''Créer le fichier contenant les baux DHCP'''
touch /tmp/udhcpd.leases

'''Créer un fichier de configuration'''
<syntaxhighlight lang="python">
cat > /tmp/udhcpd.conf << _EOF_
# Plage d'adresse attribuable
start 192.168.0.1 # Par défaut: 192.168.0.20
end 192.168.0.253 # Par défaut: 192.168.0.254

# Interface réseau d'écoute
interface eth1 # Par défaut: eth0

# Nombre maximum de baux
max_leases 253 # Par défaut: 254

# Stocker le temps restant pour chaque bail dans le fichier des baux
# C'est utile sur les systèmes embarqués ne pouvant garder l'heure après un redémarrage
# Si cette valeur est définie à "no", l'heure de fin de bail sera stocker dans le fichier
# des baux au lieu du temps restant avant expiration

#remaining yes # Par défaut: yes

# Localisation du fichier des baux
lease_file /tmp/udhcpd.leases

# Localisation du fichier processus
pidfile /tmp/udhcpd.pid # Par défaut: /var/run/udhcpd.pid

# Les options suivantes sont pour le PXE
#siaddr 192.168.0.22 # Par défaut: 0.0.0.0
#sname zorak # Par défaut: (none)
#boot_file /var/nfs_root # Par défaut: (none)

# Options DHCP
# Elles peuvent être spécifiées via le mot clé "option" ou "opt" qui est un alias.
# La seule options définie par défaut est "lease" pour définir la durée des baux
opt dns 192.168.170.171 80.67.169.12
option subnet 255.255.255.0
opt router 192.168.0.254
#opt wins 192.168.10.10 # Ajoute un serveur WINS
#option dns 129.219.13.81 # Ajoute un autre DNS aux 2 autres ci-dessus
option domain local
option lease 864000 # 10 jours en secondes
_EOF_
</syntaxhighlight>

Vous pouvez adapter les adresses et nom d'interface avec les commande suivante en remplaçant ''toto'' par la donnée appropriée:
sed -i 's/192\.168\.0\./192\.168\.toto./g' /tmp/udhcpd.conf
sed -i 's/eth1/toto/g' /tmp/udhcpd.conf

Paramètres possibles :
{| class="wikitable"
|-
! Paramètre !! Effet !! Valeur par défaut
|-
| Paramètre 1 || Il fait ça || yes
|}

Liste exhaustive des options supportés. Voir le fichier source ''options.c'' :
{| class="wikitable"
|-
! Option !! Effet
|-
| toto || titi
|}

'''Exécuter le serveur DHCP'''
busybox udhcpd -fv /tmp/udhcpd.conf

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur DHCP avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les requêtes ''ACK'' et ''OFFER'' entre le serveur et les clients (on voit l'IP attribué de ce fait)

'''Sources de la section'''
* Page officielle de udhcpd: https://udhcp.busybox.net/
* Fichier de configuration exemple: https://udhcp.busybox.net/udhcpd.conf

==NTP==
===Serveur NTP===
Définir l'horloge système depuis une source réseau
busybox ntpd -d -n -I eth0 -l -p 0.debian.pool.ntp.org

Paramètres :
* '''-d''' : mode verbeux
* '''-n''' : ne pas démoniser (ne pas exécuter en arrière plan)
* '''-I''' : écouter sur l'interface spécifiée pour les requêtes clientes
* '''-l''' : ouvre le socket ''UDP'' sur le port 123 pour les requêtes clientes
* '''-p''' : serveur de référence sur lequel se synchronise notre serveur

==TFTP==
===Client TFTP===
Télécharger un fichier via ''TFTP''
busybox tftp -r toto.txt 192.168.100.2 -g

Téléverser un fichier via ''TFTP''
busybox tftp -l toto.txt 192.168.100.2 -p

===Serveur TFTP===
Le serveur ''TFTP'' est rarement embarqué dans le ''Busybox'' des distributions ''Linux''. Dans ce cas, il faudra le compilé soit même (testé avec la version 1.36.1).

''Busybox tftpd'' a besoin de s'appuyer sur un programme (lui même présent dans ''Busybox'') d'ouverture de socket réseau : <code lang="bash" inline>udpsvd</code>.

/tmp/busybox-1.36.1/busybox udpsvd -vE 0.0.0.0 69 /tmp/busybox-1.36.1/busybox tftpd -c /tmp/tftp/

Paramètres :
* '''-r''' : lecture seule
* '''-c''' : téléversements autorisés
* '''-u''' : rendre l'utilisateur passé en paramètre propriétaire des fichiers téléversés
* '''-l''' : journaliser dans ''Syslog'' en plus du ''Stdout'' (non fonctionnel d'après mes tests)

==Netcat==
Les commandes [[netcat]] sont identique à la version ''APT'' (avec quelques options en moins).
busybox nc -l -p 2323

busybox nc ipserver 2323

'''Envoyer un [https://tutorials.technology/tutorials/How-to-transfer-files-over-the-network-using-Netcat.html fichier]'''

Sur le serveur :
busybox nc -l -p 9999 > /tmp/titi.dat

Sur le client :
busybox nc 192.168.0.1 9999 < /tmp/titi/titi.dat

==Terminal série==
On peut remplacer l'usage de [[Minicom]] par ''Busybox'' avec l'outil embarqué ''Microcom''.
busybox microcom -s 9600 /dev/ttyUSB0

Pour quitter ''Microcom'', faites la séquence d'échappement <code lang="bash" inline>ctrl+x</code>.

=Sources=
* https://busybox.net/FAQ.html#configure
* https://busybox.net/downloads/BusyBox.html

Gnome 3

2026-04-04T08:47:08Z

Ycharbi : Ajout de la section "Changer l'écran principal de GDM3"

[[Category:environnements_bureau]]

=Installation Gnome=
==Linux Debian==
===Méthode de l'installeur Debian===
# apt install tasksel
# tasksel install gnome-desktop --new-install

===Méthode manuelle===
====Installation minimale====
# apt install gnome-core gdm3

====Installation avec applicatif de base====
# apt install gnome-shell gdm3

==Linux CentOS==
On peut installer GNOME 3 sous CentOS comme trouvé dans cette [https://unix.stackexchange.com/questions/181503/how-to-install-desktop-environments-on-centos-7 source] selon la méthode suivante:
yum -y groups install "GNOME Desktop"

startx

Je n'ai pas explorer l'usage d'un gestionnaire de session comme GDM. Il serai intéressant de s'en occuper plus tard (il semblerai qu'une solution soit décrite dans le lien source donné plus haut).

=Mises à jours automatiques=
Par défaut, les mises à jours automatiques sont activé et il n'existe pas d'options dans l'interface graphique pour les configurer. La commande suivante suivie d'un drapeau booléen permet d'interagir avec.

==Désactiver les mises à jours automatiques==
$ gsettings set org.gnome.software download-updates false
''Note : ne fonctionne pas contrairement à la méthode suivante.''

systemctl disable apt-daily-upgrade.timer
systemctl disable apt-daily.timer
systemctl stop apt-daily-upgrade.timer
systemctl stop apt-daily.timer

==Réactiver les mises à jours automatiques==
$ gsettings set org.gnome.software download-updates true
''Note : ne fonctionne pas contrairement à la méthode suivante.''

systemctl enable apt-daily-upgrade.timer
systemctl enable apt-daily.timer
systemctl start apt-daily-upgrade.timer
systemctl start apt-daily.timer

==Source de la section==
* https://www.jbnet.fr/systeme/linux/gnome-desactiver-la-rechercher-automatique-de-mises-a-jour.html

=Ajouter une application au démarrage=
Sur Gnome 3, pour ajouter une application au démarrage nous avons 2 options :

==Via l'outil de personnalisation Gnome==
L'application ce nomme : <syntaxhighlight lang="bash" inline>gnome-tweak-tool</syntaxhighlight>.

Dans l'onglet "Applications au démarrage", ajouter l'application voulu.

==Via fichier==
Toutes les applications au démarrage déclarer dans l'outil de personnalisation Gnome sont dans des fichiers dans <syntaxhighlight lang="bash" inline>~/.config/autostart/</syntaxhighlight>.

Nous pouvons donc modifier les fichiers si nous voulons ajouter une option a notre application.

Exemple :

# vim ~/.config/autostart/empathy.desktop

<syntaxhighlight lang="bash">
Exec=empathy -h #Ouverture en mode minimiser
</syntaxhighlight>

=Modifier l'apparence de Gnome=
L'apparence de Gnome 3 a été totalement réalisé en CSS. Il suffit donc de modifier le fichier CSS pour donner a notre interface l'apparence voulu.

# vim /usr/share/gnome-shell/theme/gnome-shell.css

==Changer la couleur de la barre du haut==

Modifier :
<syntaxhighlight lang="css">
/* Panel */
#panel {
background-color: black;
font-weight: bold;
height: 1.86em;
}
</syntaxhighlight>

Par :
<syntaxhighlight lang="css">
/* Panel */
#panel {
background-color: rgba(0,0,0,0.8); /*Couleur noire avec une opacité de 80%*/
font-weight: bold;
height: 1.86em;
}
</syntaxhighlight>

=Changement du fond d'écran=
Il faut changer les paramètres suivants dans <syntaxhighlight lang="bash" inline>gsettings</syntaxhighlight>:
<syntaxhighlight lang="bash">
gsettings set org.gnome.desktop.background picture-uri 'file:///home/toto/Images/monfonddécran.jpg'
gsettings set org.gnome.desktop.background picture-options 'zoom'
</syntaxhighlight>

=Changement du pack d'icône=
Nous pouvons personnaliser le pack d'icône par défaut.Si un nouvelle utilisateur est créé, ce pack d'icône sera sélectionné.
Pour l’exemple nous allons utiliser le pack d'icône <syntaxhighlight lang="bash" inline>papirus</syntaxhighlight>

Nous débutons en installant <syntaxhighlight lang="bash" inline>papirus</syntaxhighlight>
<syntaxhighlight lang="bash">apt install papirus-icon-theme</syntaxhighlight>

Il faut changer les paramètres suivants dans <syntaxhighlight lang="bash" inline>gsettings</syntaxhighlight>:
<syntaxhighlight lang="bash">
gsettings set org.gnome.desktop.interface icon-theme 'Papirus'
</syntaxhighlight>

=Ajout des boutons maximiser et minimiser dans la barre de titre des fenêtres=
Il faut changer les paramètres suivants dans <syntaxhighlight lang="bash" inline>gsettings</syntaxhighlight>:
<syntaxhighlight lang="bash">
gsettings set org.gnome.desktop.wm.preferences button-layout 'appmenu:minimize,maximize,close'
</syntaxhighlight>

=Changement de fenêtres=
Le fonctionnement par défaut du <syntaxhighlight lang="bash" inline><alt+tab></syntaxhighlight> n'est pas pratique lorsque l'on a plusieurs fenêtres d'une même application ouverte. Pour corriger cela il faut ajouter un raccourci clavier dans les '''Paramètres > raccourcis clavier > Changer de fenêtre > Alt+Tabulation''', ce qui remplacera le comportement par défaut.

Afin de permettre un changement de fenêtres [https://linuxiac.com/alt-tab-to-switch-only-on-current-workspace-in-gnome-shell/ entre les bureaux] virtuels, il faut définir la valeur suivante à ''false''
gsettings set org.gnome.shell.window-switcher current-workspace-only false

=Montage USB=
==Désactivation du montage automatique USB==
Sous Gnome, l'insertion d'une clé ou d'un disque dur USB a pour effet de déclencher son montage automatique, ce qui peut s'avérer dérangeant lorsque ladite insertion a pour but de servir à la création d'un liveCD ou tout simplement pour le partitionnement (le disque étant monté, ça peut foutre une merde monstre).

===Méthode CLI===
Il faut simplement taper cette commande dans un terminal (root ou non, cela n'a pas d'importance)
gsettings set org.gnome.desktop.media-handling automount false

===Méthode graphique===
Cette méthode n'a aucun intérêt au vu de la simplicité/rapidité de la méthode CLI (mais nous avons parfois des masochistes parmi nous...), voici tout de même la façon de s'y prendre :
* Installation de l'utilitaire <syntaxhighlight lang="bash" inline>dconf-editor</syntaxhighlight>
* Aller dans '''org > gnome > desktop > media-handling > ''décochez les cases en rapport avec l{{'}}automount'''''

==Ré-activation du montage automatique==
===Méthode CLI===
De même que pour la désactivation (seul la valeur booléenne change)
gsettings set org.gnome.desktop.media-handling automount true

===Méthode graphique===
Dans dconf-editor :
* Installation de l'utilitaire <syntaxhighlight lang="bash" inline>dconf-editor</syntaxhighlight>
* Aller dans '''org > gnome > desktop > media-handling > ''cochez les cases en rapport avec l{{'}}automount'''''

==Source de la section==
* https://askubuntu.com/questions/89244/how-to-disable-automount-in-nautiluss-preferences#102601

=Montage réseau=
Il est possible de monter des partage réseau via différent protocoles au travers du module [https://fr.wikipedia.org/wiki/GVFS GVFS] accessible par ''Nautilus''.

Bien souvent, un partage réseau exige une identification et le système enregistre ces informations tant que votre session ([https://fr.wikipedia.org/wiki/GNOME_Display_Manager GDM]) est ouverte. Le fait de démonter le partage ne vide alors pas ces informations d'identification (un accès ultérieur se ferra sans redemander ces données). Il est cependant parfois souhaitable de se déconnecter d'un partage pour utiliser un autre compte distant. Pour se faire, il faut vider le cache de <syntaxhighlight lang="bash" inline>gnome-keyring-daemon</syntaxhighlight> :
gnome-keyring-daemon -r

==Source de la section==
* https://askubuntu.com/questions/611612/how-to-make-nautilus-forget-smb-session-passwords-without-logging-out

=Redémarrer le Shell=
Dans certain cas de plantages un redémarrage de Gnome Shell peut s'avérer utile. Si l'interface n'est pas gelée, il est possible via la combinaison de touches <syntaxhighlight lang="bash" inline><alt><F2>-<r><entrer></syntaxhighlight> d'effectuer cette opération (uniquement sous ''X11''). Mais si c'est le cas, ouvrez un shell bash (vrai shell - pas terminal) avec <syntaxhighlight lang="bash" inline><ctrl><alt><F3></syntaxhighlight> avec l'utilisateur de la session qui a planté et entrez ces deux commandes :
export DISPLAY=:0.0
gnome-shell -r

''Le rechargement de Gnome-shell n’entraîne pas la perte de vos fenêtres.''

==Source de la section==
* https://coderwall.com/p/qpv9oq/restart-gnome-shell-from-the-console

=Clavier tactile=
L'environnement de bureau comporte un clavier tactile s'affichant normalement à l'écran lorsque le tactile est utilisé. Cette fonctionnalité n'est pas désactivable dans les paramètres et ne fonctionne pas (s'affiche intempestivement et n’apparaît pas quand on en a besoin). Vu que l'on se passerait bien de ce genre de merde, on va justement s'en passer avec la commande suivante :
gsettings set org.gnome.desktop.a11y.applications screen-keyboard-enabled false

''Note : le drapeau <syntaxhighlight lang="bash" inline>true</syntaxhighlight> revient en arrière.''

==Source de la section==
* https://askubuntu.com/questions/1285653/enable-disable-on-screen-keyboard-using-command-line

=Modifier les paramètres par défaut de Gnome=
Dans les manipulations précédentes nous utilisons la commande <syntaxhighlight lang="bash" inline>gsettings</syntaxhighlight> pour changer des paramètres au niveau de l'utilisateur. Nous pouvons également modifier les paramètres par défaut.

Pour cela nous devons créer le fichier <syntaxhighlight lang="bash" inline>/etc/dconf/profile/user</syntaxhighlight> :
<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/dconf/profile/user
user-db:user
system-db:local
_EOF_
</syntaxhighlight>
* <syntaxhighlight lang="bash" inline>user-db:user</syntaxhighlight> : Sélectionne la bases de données de configuration en écriture, ici <syntaxhighlight lang="bash" inline>user-db</syntaxhighlight> veux dire qui va chercher la configuration dans <syntaxhighlight lang="bash" inline>~/.config/dconf</syntaxhighlight> et <syntaxhighlight lang="bash" inline>user</syntaxhighlight> recherche le fichier <syntaxhighlight lang="bash" inline>user</syntaxhighlight> ou le dossier <syntaxhighlight lang="bash" inline>user.d</syntaxhighlight> dans arborescence défini précédemment.
* <syntaxhighlight lang="bash" inline>system-db:local</syntaxhighlight> : Sélectionne la bases de données de configuration en lecture seule, ici <syntaxhighlight lang="bash" inline>system-db</syntaxhighlight> veux dire qui va chercher la configuration dans <syntaxhighlight lang="bash" inline>/etc/dconf/db/</syntaxhighlight> et <syntaxhighlight lang="bash" inline>local</syntaxhighlight> recherche le fichier <syntaxhighlight lang="bash" inline>local</syntaxhighlight> ou le dossier <syntaxhighlight lang="bash" inline>local.d</syntaxhighlight> dans arborescence défini précédemment.

Il faut donc créer le dossier <syntaxhighlight lang="bash" inline>/etc/dconf/db/local.d</syntaxhighlight> pour placer notre configuration par défaut dedans :
<syntaxhighlight lang="bash">
mkdir -p /etc/dconf/db/local.d/
</syntaxhighlight>

Voici un exemple le fichier de configuration :
<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/dconf/db/local.d/00-personnalisation
# Modification du fond d'écran
[org/gnome/desktop/background]
picture-uri='file:///usr/local/share/backgrounds/fondecran.jpg'
picture-options='zoom'

# Modification du pack d'icône
[org/gnome/desktop/interface]
icon-theme='Papirus'

# Ajout des boutons maximiser et minimiser dans la barre de titre des fenêtres
[org/gnome/desktop/wm/preferences]
button-layout='appmenu:minimize,maximize,close'
_EOF_
</syntaxhighlight>

Pour prendre en compte ces configurations, il faut lancer cette commande :
<syntaxhighlight lang="bash">
dconf update
</syntaxhighlight>

A la création d'un nouvelle utilisateur, la bases de données de configuration <syntaxhighlight lang="bash" inline>user-db:user</syntaxhighlight> étant inexistant, il ce rabat sur la bases de données de configuration <syntaxhighlight lang="bash" inline>system-db:local</syntaxhighlight> (celle qu'on a modifié). L'utilisateur a donc un fond d'écran personnalisé, le pack d'icône <syntaxhighlight lang="bash" inline>papirus</syntaxhighlight> et les boutons maximiser et minimiser dans la barre de titre des fenêtres.

==Sources de la section==
* https://help.gnome.org/admin/system-admin-guide/stable/desktop-background.html.en
* https://help.gnome.org/admin/system-admin-guide/stable/dconf-profiles.html.en

=Changer l'écran principal de GDM3=
Dans une configuration multi écrans, le gestionnaire de session par défaut de Gnome <code>GDM3</code> prend habituellement un malin plaisir à utiliser l'écran secondaire pour afficher la zone de saisie du mot de passe. Ceci est très pénible et handicapant lorsque le deuxième écran est éteint et que l'on ne compte pas s'en servir pour cette session.

Afin d'utiliser l'écran principal configuré dans Gnome pour GDM (à ce demander pourquoi ça n'est pas le comportement par défaut...), il faut copier la configuration de disposition d'affichage de l'un vers l'autre (en root).

'''Après GNOME 49 :'''
cp ~UTILISATEUR/.config/monitors.xml /var/lib/gdm3/seat0/config/

'''Avant GNOME 49 :'''
cp ~UTILISATEUR/.config/monitors.xml /var/lib/gdm3/.config/

Il faut fermer la session pour que la modification prenne effet.

==Source de la section==
* https://ubuntuhandbook.org/index.php/2022/11/login-screen-external-monitor-ubuntu/

Firefox

2026-02-21T12:04:10Z

Ycharbi : Ajout de la section "Désactiver les groupes d'onglets"

[[Category:navigateurs web]]

=Activer la gestion du tactile=
Comme beaucoup de fonctions dans Firefox, la gestion des écrans tactile n'est pas activée par défaut dans nombre d’environnements (c'est le cas de Debian). Pour l'activer, il faut définir une variable d'environnement et activer l'option dans la section dédiée de Firefox.

==Définir la variable d'environnement==
echo 'MOZ_USE_XINPUT2=1' >> /etc/environment

La modification prend effet au redémarrage. Il est possible de lancer Firefox avec la définition de cette variable manuellement via le terminal en attendant: <code>MOZ_USE_XINPUT2=1 firefox</code>.

==Activation de l'option dans Firefox==

Il faut se rendre dans <code>about:config</code> et mettre le paramètre '''dom.w3c_touch_events.enabled''' à '''1'''. La modification est active instantanément. Vous pouvez profiter du défilement, de la sélection et du zoom au doigt.

==Source de la section==
* https://support.mozilla.org/es/questions/1091627

=Désactiver la redirection HTTPS automatique=
Par défaut, le navigateur redirige automatiquement les requêtes ''HTTP'' vers ''HTTPS'' lorsque la première requête en clair n'a pas fonctionnée. Bien que cela puisse sembler être une bonne idée au premier abord, les fonctionnalités automatiques son bien souvent un miroir aux alouettes et lorsque le fameux cache ultra casse couille de ''Firefox'' entre la danse, il est parfois impossible d'accéder à un site uniquement servi en ''HTTP'' si ce dernier était indisponible lors de la première requête (test interne par exemple).

Pour désactiver ce comportement, il faut passer le [https://support.mozilla.org/en-US/questions/1019210 paramètre] <code>browser.urlbar.autoFill</code> de <code>about:config</code> à <code>false</code>.

=Utiliser Wayland=
Il est possible d'utiliser ''Firefox'' avec [[Wayland]] en définissant la [https://www.reddit.com/r/firefox/comments/c8itj2/enabling_wayland_on_linux/ variable d'environnement] <code>MOZ_ENABLE_WAYLAND=1</code> dans <code>/etc/environment</code>. Un redémarrage du programme est nécessaire et il faut s'assurer que la variable est bien définie lors de son lancement (le plus simple est de redémarrer le système).

=Désactiver le détachement d'un onglet=
Une fonctionne ultra casse couilles avec Firefox c'est bien le [https://www.askvg.com/firefox-tip-disable-tabs-drag-n-drop-feature-to-move-to-new-window/ glisser/déposer d'un onglet] qui en fait une nouvelle fenêtre. Juste insupportable. Pour désactiver cette merde, il faut passer la valeur <code>browser.tabs.allowTabDetach</code> à '''false'''.

=Restaurer la fenêtre de téléchargement=
Avec Firefox 98 (et comme avec chaque nouvelle version), une fonctionnalité indispensable a été supprimée : la possibilité d'ouvrir un fichier sans l'enregistrer quelque part sur le disque (il va simplement dans le <code>/tmp</code>). Pour restaurer ce comportement, il faut passer la valeur <code>browser.download.improvements_to_download_panel</code> à <code>false</code> dans le <code>about:config</code>.

=Forcer l'usage du presse papier=
Certains sites ''WEB'' se croient malins en interdisant l'utilisation du copier/coller dans les formulaires (réinitialisation de mots de passe par exemple). Cette pratique, en plus d'être une atteinte à notre liberté d'utiliser nos outils informatiques comme nous l'entendons, nous empêche de gérer nos [[Génération de mots de passe|mots de passe]] à notre guise (la meilleur clé est celle que vous ne connaissez pas et donc que vous ne pouvez pas taper dans un champ de formulaire...). Comme souvent, sous couvert de sécurité, le résultat est l'exact opposé. Aux développeurs ''WEB'' : laissez-nous gérer nos outils informatiques comme nous l'entendons, nous sommes bien plus à même de savoir ce qui est bon pour nous que vous !

Pour dire à ''Firefox'' de ne pas respecter le ''Javascript'' qui lui dit d'adopter un comportement aussi débile, il faut passer la [https://www.howtogeek.com/251807/how-to-enable-pasting-text-on-sites-that-block-it/ valeur] <code>about:config</code>dom.event.clipboardevents.enabled</code> à '''false'''.

Vous pouvez alors de nouveau de vous prendre pour un [https://fr.wikipedia.org/wiki/Pasteur_(christianisme) pasteur] en usant de ''copy/paste'' !

{{attention|La désactivation de cette fonction empêche le [https://github.com/element-hq/element-web/issues/25695 collage de textes] dans le champ de discutions de [[Matrix_synapse#Client_WEB_Element|element-web]] (un <code>ctrl+v</code> n'a donc plus aucun effet).}}

=Désactiver le rafraîchissement automatique=
Certains sites non respectueux de leurs utilisateurs (les sites de presse en tête), utilisent du ''Javascript'' pour rafraîchir automatiquement les pages de leur site (probablement pour générer du revenu avec la publicité).
Cette pratique, outre le fait de consommer de la bande passante et du ''CPU'' (donc de l'électricité), engendre un comportement non désiré et inattendu de l'utilisateur (seul maître légitime de son ordinateur).

Pour faire cesser ça, il faut initier la clé <code>accessibility.blockautorefresh</code> à ''true'' dans <code>about:config</code>.

=Désactiver la géolocalisation=
Certains sites envoient une requête au navigateur afin de demander d'activer la géolocalisation. Cela se matérialise dans ''Firefox'' par un popup au niveau de la barre d'adresse qui masque une partie du site (pénible). Calqué sur le modèle de celui demandant d'enregistrer un mot de passe, celui-ci n'est pas désactivable dans les paramètres (cela doit être trop difficile à coder pour ''Mozilla''...). Cela se fait donc via les habituels paramètres avancés de <code>about:config</code>, en [https://whatismyipaddress.com/enabling-and-disabling-geolocation-on-your-browser#h-firefox passant] <code>geo.enabled</code> à <code>false</code>.

=Désactiver précédent et suivant au trackpad=
Autre réelle mauvaise idée de ce navigateur, la fonctionnalité précédent et suivant via des gestes latéraux avec un trackpad. Mise à part réaliser des actions involontaires pouvant êtres, au mieux, ultra désagréables en rechargeant les pages et au pire, dangereusement catastrophique en fonction des cas (quitter une page avant la fin d'une opération est rarement sans conséquence dans le traitement...), il m'apparaît de l'ordre du bon sens de désactiver cette aberration qui n'aurait jamais dû voir le jour.

Via <code>about:config</code>, [https://superuser.com/questions/1270620/how-do-i-disable-option-swipe-navigating-history-forward-and-back-in-firefox#answer-1850606 vider les champs] <code>browser.gesture.swipe.left</code> et <code>browser.gesture.swipe.right</code> (le bouton de réinitialisation permet de restaurer les valeurs par défaut si vous avez l'idée saugrenue de vouloir revenir en arrière).

=Désactiver les groupes d'onglets=
La dernière fonction casse couille de Firefox en date : les groupes d'onglets.

Vous aviez l'habitude de déplacer des onglets dans votre navigateur ? Maintenant il se placent systématiquement dans un groupe constitué de l'onglet déplacé et de celui se trouvant à côté de lui... À part faire chier, je ne comprends pas l'objectif...

Pour désactiver cette merde, utiliser le paramètre [https://www.askvg.com/tip-how-to-enable-or-disable-tab-groups-in-mozilla-firefox/ suivant] :
browser.tabs.groups.enabled

Libération !

Matrix synapse

2025-11-22T12:10:28Z

Ycharbi : Déplacement de la section sur la réinitialisation du mot de passe d'un utilisateur et ajout d'une section pour en désactiver un

[[Category:Service_communication]]

{{chantier}}

{{info|Matrix Synapse n'est plus présent dans les dépôts ''backports'' de ''Debian''. Il n'est actuellement plus que dans la branche ''testing'' donc il n'est pas impossible qu'il se retrouve dans la future stable à l'été 2027 (bien que c'était déjà le cas pour ''Debian 11'' et que cela ne se soit jamais produit...). J'actualiserai probablement cette documentation si ça se stabilise un jour... En attendant, une méthode d'installation via [https://gist.github.com/hafizamirch/9a5f57c9df9d955f5825c160aa8dd0f9 Python venv] est possible.}}

[https://github.com/matrix-org/synapse/ Synapse] est une implémentation serveur libre (licence ''Apache 2.0'') du protocole [https://fr.wikipedia.org/wiki/Matrix_(protocole) Matrix] écrit en ''Python''. Le projet, initié en 2014, est maintenu par la fondation [https://matrix.org Matrix.org] et passe en version stable (''1.0.0'') en 2019. Il est disponible dans les dépôts ''Bullseye-Backports'' et ''Testing'' de ''Debian''.

Il permet la communication électronique textuelle, orale et vidéo entre plusieurs interlocuteurs au travers de réseaux ''IP''. Il propose en outre la possibilité d'envoyer des fichiers et de partager les écrans des correspondants. Une attention toute particulière est porté sur la sécurité des échanges avec un système de chiffrement de bout en bout obligatoire, tant entre clients (pair à pair) que lors de transactions avec le serveur (client/serveur).

Il est nécessaire de permettre la communication vers les ports suivants :
* Fédération ''Synapse'' : 8448 ''TCP''
* ''TURN'' : 3478 ''TCP/UDP''

=Service Synapse=
==Installation==
Ajout des dépôts ''Backports'' pour ''Debian 11''

<syntaxhighlight lang="bash">
echo "deb http://ftp2.fr.debian.org/debian bullseye-backports main" >> /etc/apt/sources.list
apt update
apt install --no-install-recommends -t bullseye-backports matrix-synapse
</syntaxhighlight>

La réponse aux questions n'a pas d'importance car les fichiers de configuration seront re-générés plus loin.

==Configuration==
Le domaine utilisé pour l'exemple est le suivant
export DNS_SYNAPSE=synapse.exemple.fr

Génération des fichiers configuration et de la clé de signature

<syntaxhighlight lang="bash">
synapse_generate_config --server-name ${DNS_SYNAPSE} --config-dir /etc/matrix-synapse --data-dir /etc/matrix-synapse/ --report-stats no --generate-secrets -o /etc/matrix-synapse/homeserver.yaml
synapse_generate_log_config -o /etc/matrix-synapse/${DNS_SYNAPSE}.log.config
synapse_generate_signing_key -o /etc/matrix-synapse/${DNS_SYNAPSE}.signing.key

echo 'report_stats: false' > /etc/matrix-synapse/conf.d/report_stats.yaml
echo "server_name: \"${DNS_SYNAPSE}\"" > /etc/matrix-synapse/conf.d/server_name.yaml
</syntaxhighlight>

Écouter les requêtes clientes sur toutes les adresses ''IP'' du serveur
sed -i "s/bind_addresses: \[.*\]/bind_addresses: ['0.0.0.0']/g" /etc/matrix-synapse/homeserver.yaml

Redémarrer le service
systemctl restart matrix-synapse.service

Vous devriez voir un port 8008 ''TCP'' en écoute avec un <syntaxhighlight lang="bash" inline>ss -ltn</syntaxhighlight>. Celui-ci permet aux outils d'administrations d'utiliser les ''API'' de ''Synapse'' pour interagir avec lui.

==Gestion des utilisateurs==
Actuellement, seule la création d'un utilisateur est possible avec les outils fournis. Leur suppression ou modification (ou même leur listage) n'est pas supporté (oui c'est aberrant). Ce sujet est traité dans ce [https://github.com/matrix-org/synapse/issues/1707 ticket].

La syntaxe d'un utilisateurs dans les différents clients ''Matrix'' est <syntaxhighlight lang="bash" inline>@michel:synapse.exemple.fr</syntaxhighlight>. Ceci est utile pour en ajouter comme contact depuis un logiciel client (pourquoi faire simple ?).

===Création d'un utilisateur===
synapse_register_new_matrix_user http://127.0.0.1:8008 -c /etc/matrix-synapse/homeserver.yaml

===Réinitialisation de mot de passe===
Aussi étrange que cela puisse parraitre, il n'existe pas de fonction pour réinitialiser le mot de passe d'un utilisateur (incroyable) ! Les développeurs de cette solution doivent ignorer que ces derniers perdent régulièrement leur mot de passe et qu'il s'agit donc d'une fonctionnalité indispensable en production.
Heureusement, la structure de l'authentification étant très simple, il est triviale de réaliser cette opération [https://paritoshbh.me/blog/reset-user-password-synapse-matrix-homeserver soit-même] dans la base de données après génération d'un mot de passe haché .

# Génération du mot de passe haché
su - matrix-synapse -s /bin/sh -c 'python3 /usr/libexec/matrix-synapse/hash_password -c /etc/matrix-synapse/homeserver.yaml'
# connexion à la base de donnée de Synapse
su - matrix-synapse -s /bin/sh -c 'sqlite3 /etc/matrix-synapse/homeserver.db'

Après avoir identifié l'utilisateur dont le mot de passe doit être réinitialisé ("michel" pour l'exemple), utiliser le hachi généré pour remplacer l'ancien
<syntaxhighlight lang="sql">
SELECT * FROM users;
UPDATE users SET password_hash='$2b$12$OkrnSR1hOCj0xjb7mDnvf.OXVQ0P/EU8u4lUpMuU5YepvHXpv3sxm' WHERE name='@michel:synapse.exemple.fr';
</syntaxhighlight>

Le changement est instantané.

===Désactivation d'un compte===
Pour désactiver un utilisateur, il faut se connecter à la base de données en suivant les explications précedemment données et en utilisant une requête ''SQL'' sous cette forme :
<syntaxhighlight lang="sql">
UPDATE users SET deactivated=1 WHERE name='@michel:synapse.exemple.fr';
</syntaxhighlight>

Le booléen de désactivation est alors définit pour notre compte utilisateur.

===Source de la section===
* https://matrix-org.github.io/synapse/latest/setup/installation.html

=Service TURN=
Dans la mesure où le vrai monde est peuplé de ''NAT'' à profusion et qu'aucun protocole de communication en temps réel ne sais gérer cette situation correctement (la raison m'échappe toujours...), il est indispensable d'employer un service mitigeant cette contrainte. Ceci est le rôle des protocoles [https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT TURN]/[https://en.wikipedia.org/wiki/STUN STUN] implémenté dans le logiciel [https://github.com/coturn/coturn Coturn].

==Installation==
Le paquet est disponible dans les dépôts ''Sable''
apt install --no-install-recommends coturn

==Configuration==
Les informations spécifiques à l'instance de cette documentations seront les suivantes

<syntaxhighlight lang="bash">
export DNS_COTURN=turn.exemple.fr
export SECRET_COTURN=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)
export IP_EXTERNE=$(wget -qO - ifconfig.co)
export IP_INTERNE=192.168.0.100
</syntaxhighlight>

Le fichier de configuration du service se composera comme suit

<syntaxhighlight lang="bash">
cat << _EOF_ > /etc/turnserver.conf
use-auth-secret
static-auth-secret=${SECRET_COTURN}
realm=${DNS_COTURN}

# Le trafic VoIP est entièrement UDP. Il n'y a aucune raison de laisser les utilisateurs se connecter à des points d'extrémité TCP arbitraires via le relais
no-tcp-relay

# Ne laissez pas le relais essayer de se connecter à des plages d'adresses IP privées au sein de votre réseau (s'il y en a)
# Étant donné que le serveur tournant est probablement derrière votre pare-feu, n'oubliez pas d'inclure également toutes les adresses IP publiques privilégiées
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=172.16.0.0-172.31.255.255

# À recommandé, blocage de pairs locaux supplémentaires, afin de limiter l'accès externe aux services internes
# https://www.rtcsec.com/article/slack-webrtc-turn-compromise-and-bug-bounty/#how-to-fix-an-open-turn-relay-to-address-this-vulnerability
no-multicast-peers
denied-peer-ip=0.0.0.0-0.255.255.255
denied-peer-ip=100.64.0.0-100.127.255.255
denied-peer-ip=127.0.0.0-127.255.255.255
denied-peer-ip=169.254.0.0-169.254.255.255
denied-peer-ip=192.0.0.0-192.0.0.255
denied-peer-ip=192.0.2.0-192.0.2.255
denied-peer-ip=192.88.99.0-192.88.99.255
denied-peer-ip=198.18.0.0-198.19.255.255
denied-peer-ip=198.51.100.0-198.51.100.255
denied-peer-ip=203.0.113.0-203.0.113.255
denied-peer-ip=240.0.0.0-255.255.255.255

# Cas particulier : le serveur TURN lui-même pour que les flux client->TURN->TURN->client fonctionnent
# Il doit s'agir de l'une des adresses IP d'écoute du serveur TURN
allowed-peer-ip=${IP_INTERNE}

# Examinez si vous souhaitez limiter le quota de flux relayés par utilisateur (ou total) pour éviter les risques de DoS
user-quota=12 # 4 flux par appel vidéo, donc 12 flux = 3 appels relayés simultanés par utilisateur
total-quota=1200

# Certificats TLS, y compris les certificats intermédiaires
# Pour les certificats Let's Encrypt, utilisez 'fullchain.pem' ici
cert=/srv/tls/corturn.pem

# Fichier TLS de clé privée
pkey=/srv/tls/corturn.key

# Assurez-vous que les lignes de configuration qui désactivent TLS/DTLS sont commentées ou supprimées.
#no-tls
#no-dtls

external-ip=${IP_EXTERNE}
listening-ip=${IP_INTERNE}
_EOF_
</syntaxhighlight>

===Support du TLS===
Créer le répertoire d'accueil des éléments de chiffrement
mkdir /srv/tls

Ces éléments peuvent être issus d'une autorité de certification publique comme [[Letsencrypt|Letsencrypt]] (mettre la clé et le certificat '''chaînés''') ou privée, via [[Openssl|OpenSSL]] par exemple.

<syntaxhighlight lang="bash">
chown -R root:root /srv/tls
chmod 500 /srv/tls
chmod 400 /srv/tls/*
</syntaxhighlight>

Redémarrer le service
systemctl restart coturn.service

Le service écoute sur le port 3478 ''TCP/UDP''.

Il est à présent possible de configurer ''Synapse'' afin qu'il informe les clients d'utiliser notre service ''TURN'' lors de l'établissement des communications pair à pair entre eux.

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/matrix-synapse/homeserver.yaml

turn_uris: [ "turn:${DNS_COTURN}?transport=udp", "turn:${DNS_COTURN}?transport=tcp" ]
turn_shared_secret: "${SECRET_COTURN}"
turn_user_lifetime: 86400000
turn_allow_guests: True
_EOF_
</syntaxhighlight>

systemctl restart matrix-synapse.service

==Enregistrement DNS==
Cette section est totalement facultative et n'apporte rien. Il existe peut-être une configuration de ''Synapse'' permettant de trouver automatiquement le serveur ''TURN'' via ''DNS''...

Enregistrements ''DNS SRV'' (à ajouter dans la configuration de votre zone)

<syntaxhighlight lang="bash">
_stun._udp 10800 IN SRV 0 5 3478 exemple.fr.
_turn._udp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

Il est possible de requêter le serveur de noms sur ces champs précis via les commandes suivantes

<syntaxhighlight lang="bash">
dig +short _stun._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
dig +short _turn._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

==Test de fonctionnement==
Voici une [https://nextcloud-talk.readthedocs.io/en/latest/TURN/#6-testing-the-turn-server méthode] permettant de tester le fonctionnement du service en ligne de commande. Elle peut aider à deceler des problèmes simplement.
turnutils_uclient -p 3478 -W <CLÉ_SERVEUR_TURN> -v -y turn.exemple.fr

==Source de la section==
* https://matrix-org.github.io/synapse/latest/setup/turn/coturn.html

=Client WEB Element=
[https://github.com/vector-im/element-web Element] est un client WEB pour ''Matrix''. Anciennement connu sous le nom de ''Riot'', il existe aussi sous forme d'application ''IOS'' et ''Android''.

==Installation==
N'étant pas dans les dépôts ''Debian'', nous utiliserons la version ''Git''

<syntaxhighlight lang="bash">
apt install --no-install-recommends apache2

wget https://github.com/vector-im/element-web/releases/download/v1.10.14/element-v1.10.14.tar.gz -P /tmp

tar xf /tmp/element-v1.10.14.tar.gz -C /var/www/
ln -s /var/www/element-v1.10.14/ /var/www/element
chown -R www-data: /var/www/element*
</syntaxhighlight>

==Configuration==
L'hôte virtuel d{{'}}''Apache'' doit pointer vers le programme

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/apache2/sites-available/element.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/element
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
_EOF_
</syntaxhighlight>

Désactivation de l'hôte virtuel par défaut et activation du nouveau
<syntaxhighlight lang="bash">
a2dissite 000-default.conf
a2ensite element.conf
</syntaxhighlight>

Le domaine utilisé sera le suivant
export DNS_ELEMENT=element.exemple.fr

La configuration de notre instance sera celle-ci

<syntaxhighlight lang="bash">
cat << _EOF_ > /var/www/element/config.json
{
"default_server_config": {
"m.homeserver": {
"base_url": "https://${DNS_SYNAPSE}",
"server_name": "${DNS_SYNAPSE}"
},
"m.identity_server": {
"base_url": "https://vector.im"
}
},
"disable_custom_urls": false,
"disable_guests": false,
"disable_login_language_selector": false,
"disable_3pid_login": false,
"brand": "Element",
"bug_report_endpoint_url": "https://element.io/bugreports/submit",
"uisi_autorageshake_app": "element-auto-uisi",
"default_country_code": "FR",
"show_labs_settings": false,
"features": { },
"default_federate": false,
"default_theme": "light",
"enable_presence_by_hs_url": {
"https://matrix.org": false,
"https://matrix-client.matrix.org": false
},
"setting_defaults": {
"breadcrumbs": true
},
"features": {
"feature_you_want_to_turn_on": true,
"feature_you_want_to_keep_off": false
}
}
_EOF_
</syntaxhighlight>

Redémarrer ''Apache''
systemctl restart apache2.service

==Source==
* https://github.com/vector-im/element-web/tree/develop/docs

=Fédération=
Un des atouts de cette solution est la décentralisation. En effet, il est possible d'interconnecter plusieurs serveurs afin de permettre la communication d'utilisateurs enregistrés sur des instances différentes. Ces interconnexions doivent êtres explicitement spécifiées dans la configuration de ''Synapse''.

Le domaine du serveur distant sera le suivant
export DNS_SRV_DISTANT_SYNAPSE=synapse.toto.fr

Ajout de celui-ci dans la configuration de ''Synapse'' (ceci doit être fait des deux côtés)

<syntaxhighlight lang="bash">
sed -i "s/^trusted_key_servers:/trusted_key_servers:\n - server_name: \"${DNS_SRV_DISTANT_SYNAPSE}\"/g" /etc/matrix-synapse/homeserver.yaml
sed -i "s/^#federation_domain_whitelist:/federation_domain_whitelist:\n - ${DNS_SRV_DISTANT_SYNAPSE}/g" /etc/matrix-synapse/homeserver.yaml
</syntaxhighlight>

systemctl restart matrix-synapse.service

=Cas d'une connexion mandaté=
Dans la mesure où il est courant qu'un serveur ne soit jamais relié directement à Internet (comprendre par la qu'il ne dispose pas d'IP publique), le cas d'un [[:Category:Reverse_proxy|mandataire inverse]] officiant entre les clients du ''WAN'' et le serveur ''Element'' du ''LAN'' est le plus probable. Ce point complique la transparence des échanges entre les machines et doit être géré au niveau de cet intermédiaire. Deux services ont étés testés en production avec succès. Leur configuration est donnée ci-après.

==Traefik==
Ajout d'un point d'entrer dans Traefik pour le port 8448

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/traefik/config/vhosts/matrix.toml
[http]
[http.routers]
[http.routers.synapse]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapse.tls]
certResolver = "myresolver"

[http.routers.element]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_ELEMENT}\`)"
service = "element"
[http.routers.element.tls]
certResolver = "myresolver"

[http.routers.synapsefed]
entryPoints = ["synapsefed"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapsefed.tls]
certResolver = "myresolver"

[http.services]
[http.services.synapse.loadBalancer]
[[http.services.synapse.loadBalancer.servers]]
url = "http://${IP_INTERNE}:8008"
[http.services.element.loadBalancer]
[[http.services.element.loadBalancer.servers]]
url = "http://${IP_INTERNE}:80"
_EOF_
</syntaxhighlight>

==HAProxy==
<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/haproxy/haproxy.cfg
frontend matrix-federation
bind *:8448,[::]:8448 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1
http-request set-header X-Forwarded-Proto https if { ssl_fc }
http-request set-header X-Forwarded-Proto http if !{ ssl_fc }
http-request set-header X-Forwarded-For %[src]
default_backend synapse

frontend https
http-response add-header X-Frame-Options SAMEORIGIN

bind :443 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1

acl host_synapse hdr(host) -i synapse.exemple.fr

use_backend synapse if host_synapse

<backend synapse
option forwardfor except 127.0.0.1
option http-server-close
server synapse 192.168.170.178:8008 check maxconn 32
_EOF_
</syntaxhighlight>

=Débogage=
La configuration de ''Synapse'' est quelque peu imbuvable et les problèmes, difficiles à corriger. Il est possible de s'appuyer sur les journaux du service afin de cibler l'origine des disfonctionnements.
tail -f /var/log/matrix-synapse/homeserver.log

Un outil permettant de determiner les caractéristiques du serveur est disponible à l'adresse https://federationtester.matrix.org/. Il peut s'avérer d'une aide précisieuse (surtout le rapport ''Json'').

Web station - synology

2025-11-20T16:46:37Z

Ycharbi : /* Listage de fichiers */ Ajout de l'option permettant d'afficher la taille humainement lisible des fichiers listés

[[Category:Synology]]

[https://www.synology.com/fr-fr/dsm/packages/WebStation Web Station] est une application additionnelle pour [https://www.synology.com/fr-fr/dsm DSM] [https://fr.wikipedia.org/wiki/Synology Synology] disponible dans le gestionnaire de paquets du système. Il permet d'installer et de configurer les serveurs ''WEB'' [[Apache2]] et ''Nginx'' (ce dernier est fourni par défaut) sur le [https://fr.wikipedia.org/wiki/Serveur_de_stockage_en_r%C3%A9seau NAS].

=Listage de fichiers=
Bien que complètement aberrant, l'outil ne permet pas de lister les fichiers (''Directory Listing'') d'un hôte virtuel. Cette fonctionnalité, devant de préférence être désactivée lors de l'hébergement de pages ''WEB'' pour des raisons de sécurité, peut être l'objet de la mise en œuvre de certains sites destinés au partage de fichiers. L’absence de cette fonctionnalité est donc particulièrement handicapante, d'autant plus que le serveur renvoie une erreur <code>403</code> sans plus d'explications, même dans les journaux (bo courage pour en trouver l'origine donc)...

Dans la mesure où aucune option de l'interface ''WEB'' ne permet son activation et où, malgré l'apparente bonne idée de la chose, la modification directe des fichiers d'hôtes virtuels de Nginx ne peut se couronner de succès car réinitialisés au démarrage du service, cette section va montrer le cheminement pour tout de même parvenir à une configuration fonctionnelle (''DSM 7.2.2-72806 Update 2'' pour l'exemple).

{{info|Il est nécessaire de se connecter en [[Openssh|SSH]] avec l'utilisateur ''root'' pour effectuer ce qui va suivre.}}

Chaque hôte virtuel, intitulés "Portail Web", créé dans l'application ''Web Station'' ajoute un ensemble de fichiers de configurations portant des noms indevinables à l'avance côté serveur à l'emplacement <code>/usr/local/etc/nginx/sites-enabled/</code> et ayant pour lien symbolique <code>/etc/nginx/sites-enabled</code>.

Ce qui va nous intéresser dans ces fichiers, ce sont les inclusions d'autres configuration car en suivant une chaîne imbriquée, nous allons trouver un endroit pour y mettre le notre de façon persistante (les étapes seront à reproduire pour chaque site).

<syntaxhighlight lang="bash">
# Afficher la dernière ligne de l'hôte virtuel "toto"
tail /usr/local/etc/nginx/sites-enabled/webservice_portal_033b9685-e292-4d50-a85a-a495479c6096
# La ligne qui nous intéresse
# est la suivante : include conf.d/.service.033b9685-e292-4d50-a85a-a495479c6096.45457345-2f5c-449e-8a97-d1fe7f228ffe.conf*;

# Afficher ce fichier pour voir ce qu'il inclus
tail /etc/nginx/conf.d/.service.033b9685-e292-4d50-a85a-a495479c6096.45457345-2f5c-449e-8a97-d1fe7f228ffe.conf
# La dernière ligne nous renvoi l'emplacement d'une
# configuration statique : include /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/user.conf*;

# Le répertoire de destination n'existant pas, il faut le créer
mkdir /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/

# Ajouter la configuration persistante permettant le listage des fichiers
echo -e "autoindex on;\nautoindex_exact_size off;" > /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/user.conf

# Redémarrer le service
systemctl restart nginx
</syntaxhighlight>

Le listage des fichiers du site via la directive <code>autoindex on;</code> du module [https://nginx.org/en/docs/http/ngx_http_autoindex_module.html ngx_http_autoindex_module] de ''Nginx'' est désormais fonctionnel et persistant aux redémarrages.

Ipxe

2025-11-11T10:40:04Z

Ycharbi : Changement d'adresse du dépôt Git du projet

[[Category:pxe]]
[https://ipxe.org/start IPXE] est une ''ROM'' contenant un micrologiciel permettant d'amorcer un système depuis le réseau (comme celui intégré aux cartes mères). Sa particularité réside dans le fait qu'il ne se limite pas à une utilisation basique du protocole ''PXE'' mais va beaucoup plus loin. Il est notamment possible d'amorcer un système via ''HTTP/HTTPS'', ''FTP'', ''SLAM'', ''NFS'' et ''ISCSI'' en plus du ''TFTP/TFTP-Multicast'' traditionnel. Il est également capable d’exécuter des scripts et on peut le personnaliser avant sa compilation pour intégrer plus ou moins de fonctionnalité en fonction des besoins.

Une image IPXE pré-compilée est disponible sur le [http://ipxe.org site officiel] à [http://boot.ipxe.org/ipxe.iso cette adresse]. Nous allons détailler les étapes de compilation manuelles. Il est à noter que l'usage de l'outil en ligne ([https://github.com/xbgmsharp/ipxe-buildweb/ auto-hébergeable]) https://rom-o-matic.eu/ permet une compilation à distance en cliquant sur les éléments que l'on veut intégrer à notre image.

=Compilation=
'''Installation des dépendances'''
apt install git make gcc perl binutils liblzma-dev genisoimage

'''Téléchargement des sources'''
git clone https://github.com/ipxe/ipxe.git

'''Édition du fichier de configuration'''

L'outil ''make'' lit le fichier de configuration <code>./src/config/general.h</code> pour déterminer les modules à intégrer à la compilation.

Tout les paramètres à prendre en compte doivent être précédés par un croisillon (<code>#</code>). Les modules à définir doivent êtres passés en paramètre à <code>define</code> et ceux qui ne doivent pas l'être, à <code>undefine</code>.

Aussi, voici ce que nous avons pour la gestion de l{{'}}''IPv6'', du ''NFS'' et de l{{'}}''ISCSI'' (fichier partiel, j'ai juste mis ce que j'ai modifié en remplaçant les autres lignes par <code>...</code>) :

cd ./ipxe/src/
vim config/general.h

<syntaxhighlight lang="bash">
...
#define NET_PROTO_IPV6 /* IPv6 protocol */
...
#define DOWNLOAD_PROTO_NFS
...
#define SANBOOT_PROTO_ISCSI
...
</syntaxhighlight>

make -j 9

Un fichier <code>bin/ipxe.iso</code> a été créé. Nous y trouvons également d'autre fichiers tel que des ''ROM'' pour cartes réseau et un noyau Linux ''iPXE'' (''ipxe.lkrn'') permettant l'amorçage par le réseau via ''pxelinux'' (nous utilisons ce dernier dans notre documentation sur l'[[Installation Windows via PXE|Installation de Windows via PXE]]).

'''Multi-plateforme'''

Pour compiler l'outil sur les plateformes ''UEFI'' (32 et 64 bits) et ''Bios'' pour amorçage ''PXE'', les commandes suivantes peuvent êtres utilisées :
make bin-x86_64-efi/ipxe.efi -j 9
make bin-i386-efi/ipxe.efi -j 9
make bin-i386-pcbios/ipxe.pxe -j 9

Les binaires d'amorçage sont disponibles aux noms indiqués dans les commandes pour leur plateforme respective. La liste supportés est disponible sur la page de [https://ipxe.org/appnote/buildtargets documentation] du projet.

=Test=
Dés à présent, l'ISO généré peut être utilisé dans un média amorçable, un [[serveur PXE]] ou testé via [[Qemu]] comme suit :
qemu-system-x86_64 -m 1024 -vga qxl -fda /tmp/ipxe/src/bin/ipxe.iso -tftp /tmp/pxe -bootp lpxelinux.0 -boot n -net user -net nic,model=e1000,macaddr=00:11:22:33:44:55 -net tap,ifname=qtap0 -netdev tap,id=t0,ifname=vnet0,script=no,downscript=no -device e1000,netdev=t0 --enable-kvm -cpu host -smp cores=2,threads=1,sockets=1

J'ai copié les fichiers nécessaires au démarrage ''PXE'' de mon serveur dans le <code>/tmp/pxe</code> (créé pour l'occasion) de mon hôte. L'interface réseau '''vnet0''' se créée toute seule sur l'hôte et permet une communication paire à paire avec la machine virtuelle (c'est avec ce lien que l'amorçage s'effectue). La deuxième interface permet à la ''MV'' de sortir sur le ''WAN'' si un routage est effectué dans votre réseau ou si vous utilisez du ''NAT'' comme ceci :

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ip a a 172.16.1.1/24 dev vnet0
ip l set vnet0 up

Ne pas oublié le serveur ''HTTP'' sur l'hôte (un [[Busybox#Serveur_WEB|busybox httpd]] fait très bien l'affaire) :
busybox httpd -fvv -h /tmp/pxe/

=Sources=
* http://ipxe.org/download
* https://blog.widodh.nl/2015/11/pxe-boot-over-ipv6-with-ipxe/

Tcpdump

2025-07-19T18:52:09Z

Ycharbi : Ajout de la section "Capturer le trafic nspawn"

[[Category:Analyseur de trames]]
=Capturer du trafic=
==Exemple d'utilisation==
tcpdump -n -vv -X -i any port not 22 and src 192.168.1.45 and tcp

Paramètres :
* '''-n''' : ne pas résoudre les nom ''DNS''
* '''-vv''' : décode l'ensemble du protocole
* '''-X''' : affiche le résultat comme un éditeur hexadécimal
* '''-i any''' : écouter sur toute les interfaces
* '''port not 22''' : exclure les paquets venants du port 22 de la capture
* '''and''' : concaténation de règles. Le paramètre '''or''' peut également être utilisé
* '''src @IP''' : n'affiche que les paquet en provenance de cette ''IP''
* '''tcp''' : n'affiche que les paquets ''TCP''

Le mot clé de certains protocoles n'est pas forcement évident. Afin de filtrer l{{'}}''ARP'' et le ''Spanning Tree'', le filtre [https://stackoverflow.com/a/68834223 suivant] peut être utilisé :
not arp and not llc

==Enregistrer la capture dans un fichier==
tcpdump -n -i any src 192.168.1.45 -w /tmp/capture.pcap

Paramètre :
* '''-w''' : Enregistre le résultat de la capture dans un fichier.

''Le fichier peut ensuite être lut par [[Wireshark]].''

{{info|La capture peut être limité en nombre de paquets avec l'option '''-c''' ou en taille avec '''-C''' (unité en Mo).}}

==Privilège de capture==
Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes :

Création d'un groupe <syntaxhighlight lang="bash" inline>pcap</syntaxhighlight> et enrôlement de notre utilisateur dedans
groupadd pcap
usermod -a -G pcap VOTRE_UTILISATEUR

Changement du propriétaire du binaire <syntaxhighlight lang="bash" inline>tcpdump</syntaxhighlight> au nouveau groupe
chgrp pcap /usr/sbin/tcpdump
chmod 750 /usr/sbin/tcpdump
dpkg-statoverride --add root pcap 750 /usr/sbin/pcap

Attribution des capacités noyau adéquates au binaire
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

===Source de la section===
* https://www.linuxtutorial.co.uk/tcpdump-eth0-you-dont-have-permission-to-capture-on-that-device/

=Capturer le trafic nspawn=
Il est parfois bien utile de capturer le trafic de l'espace de noms d'un conteneur [[Conteneurs - systemd|NSPawn]]. Pour ce faire, il faut identifier le ''PID'' d'un processus exécuté dans le conteur et exécuter ''tcpdump'' dans son espace de noms en utilisant cet identifiant comme point d'entrée :

# Trouver un ''PID'' exécuté dans l'espace de noms désiré : <code>ps -eo pid,args,machine | grep nom_conteneur</code>
# Exécuter un ''tcpdump'' dedans : <code>nsenter -t $PID -n tcpdump -ni any</code>

{{astuce|Cette astuce fonctionne pour n'importe quelle commande.}}

=Source=
* https://www.tcpdump.org/tcpdump_man.html

Unified kernel image

2025-04-29T11:12:09Z

Ycharbi : Ajout de la section "Extraction"

[[Category:Noyau_linux]]

Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par :
* le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en nuage ou confidentiels
* un chargeur de démarrage : généralement utile pour permettre plusieurs versions de noyau avec une sélection interactive ou automatique de la version dans laquelle démarrer ([[Systemd-boot]] ou [[Grub]] permettent cela)

L'amorçage de cette image unifiée est permise par le ''stub'', programme logé dans celle-ci et pouvant être interprété par l{{'}}''UEFI''. Il constitue donc la partie exécutable initiale de l'image combinée et charge par la suite d'autres ressources à partir du reste de l{{'}}''INU'', en particulier le noyau et l{{'}}''initrd''.

La [https://uapi-group.org/specifications/specs/unified_kernel_image/ spécification officielle] définit le format et les composants (obligatoires et optionnels) des ''UKI'' qui sont fournis en tant que sections ''PE/COFF'' de l'exécutable.

L'intérêt principal de cette approche est qu'elle permet de mieux sécuriser le démarrage d'un système en exposant un unique binaire (''UEFI PE'') en clair sur le disque d'amorçage (''EFI System Partition'' - ''ESP'') au lieu d'une multitude de fichiers pouvant être modifiés par le premier pirate venu. Cet exécutable pourra alors être signé par ''Secure Boot'' et permettre, entre-autre, le déchiffrement de la racine en s'assurant de l’absence de sa propre altération (enregistreur de frappes par exemple).

=Image Noyau Unifiée=
==Installation des outils==
La génération d'une ''INU'' nécessite quelques outils. Le projet ''Systemd'' met à disposition un programme ''Python'' nommé <code>Ukify</code> à partir de la version 253 de l{{'}}''init''. Il est logé à l'emplacement <code>/usr/lib/systemd/ukify</code> mais nécessite la bibliothèque <code>python3-pefile</code> et ses dépendances pour fonctionner. L'approche exposé dans ce document visant la frugalité (''Ukify'' apporte surtout une configuration épurée mais l'aspect fonctionnel est identique), le strict nécessaire sera installé.
apt install --no-install-recommends systemd-boot-efi binutils gawk sbsigntool

Détails des paquets installés :
* '''systemd-boot-efi''' : fournit le ''stub <code>/usr/lib/systemd/boot/efi/linuxx64.efi.stub</code>
* '''binutils''' : fournit le programme de construction du binaire ''PE'' <code>objdump</code>
* '''gawk''' : fournit la version ''GNU'' de l'interpréteur de langage ''AWK'' afin de ne pas avoir l'erreur de fonction non définie <code>function strtonum never defined</code> du <code>awk</code> de base
* '''sbsigntool''' : permet de signer l{{'}}''UKI'' en vu d'une validation ''Secure Boot'' (optionnel)

==Script de génération==
La génération d'une ''UKI'' nécessitant la concaténation d'une multitude d'éléments, il n'est pas envisageable de renseigner l'ensemble des paramètres manuellement. Je vous propose un script permettant la création d'une image ainsi que sa rotation sur trois versions différentes (l'une écrase la précédente à chaque nouvelle exécution).
vim /mnt/usr/local/sbin/gen-uki

<syntaxhighlight lang="bash">
#!/bin/bash

# Récupération de la version du noyau en cours d'utilisation
version_noyau="${1}"

# Chemin vers l'initrd de travail
chemin_initrd="${2}"

# Chemin vers le noyau de travail
chemin_noyau="/boot/vmlinuz-${version_noyau}"

# Définition des variables du script
chemin_lsb="/usr/lib/os-release"
chemin_stub="/usr/lib/systemd/boot/efi/linuxx64.efi.stub"
chemin_cmdline="/etc/kernel/cmdline"
chemin_splash="/dev/null"
nom_uki1="1-debian.efi"
nom_uki2="2-debian.efi"
nom_uki3="3-debian.efi"
chemin_base="/boot/efi/EFI/Linux/"
chemin_dst_uki="${chemin_base}/${nom_uki1}"
chemin_sb_clef="/usr/local/lib/secureboot/mok/MOK.priv"
chemin_sb_cert="/usr/local/lib/secureboot/mok/MOK.pem"

# Création de l'arborescence des UKI
mkdir -p "${chemin_base}"

# Préparation de l'UKI
align="$(objdump -p ${chemin_stub} | awk '{ if ($1 == "SectionAlignment"){print $2} }')"
align=$((16#$align))
osrel_offs="$(objdump -h "${chemin_stub}" | awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"
osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))
cmdline_offs=$((osrel_offs + $(stat -Lc%s "${chemin_lsb}")))
cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))
splash_offs=$((cmdline_offs + $(stat -Lc%s "${chemin_cmdline}")))
splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))
initrd_offs=$((splash_offs + $(stat -Lc%s "${chemin_splash}")))
initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))
linux_offs=$((initrd_offs + $(stat -Lc%s "${chemin_initrd}")))
linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))

# Roulement, si elle existe et n'est pas vide, de l'UKI 2 en 3
if [[ -s "${chemin_base}${nom_uki2}" ]]; then
echo "Copie de l'UKI 2 en 3..."
cp -v "${chemin_base}${nom_uki2}" "${chemin_base}${nom_uki3}"
fi

# Roulement, si elle existe et n'est pas vide, de l'UKI 1 en 2
if [[ -s "${chemin_dst_uki}" ]]; then
echo "Copie de l'UKI 1 en 2..."
cp -v "${chemin_dst_uki}" "${chemin_base}${nom_uki2}"
fi

echo "Génération de l'image noyau combinée (UKI) numéro 1..."
objcopy \
--add-section .osrel="${chemin_lsb}" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \
--add-section .cmdline="${chemin_cmdline}" --change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \
--add-section .splash="${chemin_splash}" --change-section-vma .splash=$(printf 0x%x $splash_offs) \
--add-section .initrd="${chemin_initrd}" --change-section-vma .initrd=$(printf 0x%x $initrd_offs) \
--add-section .linux="${chemin_noyau}" --change-section-vma .linux=$(printf 0x%x $linux_offs) \
"${chemin_stub}" "${chemin_dst_uki}"

# Signature de l'UKI pour la vérification Secure Boot seulement si la clé et son certificat son présents
if [[ -r "${chemin_sb_clef}" && -r "${chemin_sb_cert}" ]]; then
sbsign --key "${chemin_sb_clef}" --cert "${chemin_sb_cert}" --output "${chemin_dst_uki}" "${chemin_dst_uki}"
sbverify --cert "${chemin_sb_cert}" "${chemin_dst_uki}"
fi
</syntaxhighlight>

Les [[Paramètres linux|paramètres]] du noyau (de la variable <code>$chemin_cmdline</code>) doivent contenir les informations sur votre système de fichier racine afin que ''Linux'' puisse l'amorcer. Vous pouvez vous appuyer sur l'exemple ci-dessous qui comprend une partition chiffrée contenant un sous-volume ''BTRFS''.

<syntaxhighlight lang="bash">
echo "root=UUID=${uuid_racine} cryptdevice=UUID=${uuid_luks} ro rootflags=subvol=@rootfs console=tty0 console=ttyS0,115200n8" > /mnt/etc/kernel/cmdline
</syntaxhighlight>

Pensez bien entendu à remplacer les variables par vos propres valeurs...

Vous pouvez également vous appuyer sur le <code>/proc/cmdline</code> pour visualiser les paramètres utilisés par votre propre système afin de vous en inspirer. La liste des paramètres possible est visualisable dans la [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] du noyau.

chmod u+x /usr/local/sbin/gen-uki

==Automatisation==
Le script ainsi créé peut être lancé manuellement mais il est préférable qu'il soit appelé à chaque mise à jour de noyau ou d{{'}}''initrd'' afin de garantir un démarrage sur la dernière version disponible. Cette dépendance se créée en l'exposant dans le répertoire de post-construction de l{{'}}''initrd'' (<code>/etc/initramfs/post-update.d/</code>). Il n'est pas souhaitable (voir balise "info" ci-après) de spécifier d'actions dans <code>/etc/kernel/postinst.d/</code> puisque une installation ou une mise à jour du noyau exécute systématiquement une reconstruction de l{{'}}''initrd''.

{{info|Nous ne voulons pas générer un ''UKI'' depuis la phase post-installation du noyau pour deux raisons :
* le paramètre <code>$2</code> envoyé au script est égale au chemin absolut du nouveau noyau et non de l{{'}}''initrd''. Cela a pour effet de générer un ''UKI'' contenant deux fois le noyau et aucune fois l{{'}}''initrd'' (corrompu de fait)
* dans la mesure où <code>dpkg</code> exécute à la fois les scripts des répertoires <code>/etc/initramfs/post-update.d/</code> et <code>/etc/kernel/postinst.d/</code>, deux roulements d{{'}}''UKI'' (dont un corrompu) s'effectuerait, ce qui n'a aucun sens et n'est clairement pas souhaitable car deux images sur trois sont alors issues de la même mise à jour}}

mkdir -p /etc/initramfs/post-update.d
ln -s /usr/local/sbin/gen-uki /etc/initramfs/post-update.d/zz-gen-uki
chmod u+x /etc/initramfs/post-update.d/zz-gen-uki

{{info|Le répertoire <code>/etc/initramfs/post-update.d</code> n'est pas créé par défaut dans ''GNU/Linux Debian'' mais est bien parcouru lors de la génération d'une nouvelle archive d{{'}}''init''.}}

==Création des entrées de démarrage==
Dans l'optique d'optimiser au mieux le démarrage de notre machine, nous n'utiliserons aucun chargeur d'amorçage. Nous créerons alors des entrées de démarrage dans notre ''UEFI'' pointant directement sur nos ''UKI'' (son menu nous permettra de sélectionner la version à lancer). Pour se faire, il est possible de passer par l'interface de celui-ci (lorsque l'option est disponible) ou via l'outil [[Efibootmgr]] (universel). Voici un exemple pour les trois générées par le script (il est possible de créer les entrées avant les images) :

<syntaxhighlight lang="bash">
disque_systeme=/dev/nvme0n1

efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\1-debian.efi' -L "Debian UKI 1"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\2-debian.efi' -L "Debian UKI 2"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\3-debian.efi' -L "Debian UKI 3"
</syntaxhighlight>

Ainsi, dans le cas malencontreux où une mise à jour de noyau ou une reconstruction d{{'}}''initrd'' occasionne une impossibilité à démarrer, les versions précédentes de votre image vous permettront de vous en sortir.

==Extraction==
Il peut être utile d'[https://discourse.ubuntu.com/t/how-to-inspect-kernel-efi-uki-universal-kernel-image-binary/38266 extraire] un élément particulier contenu dans une ''UKI''.
# lister les sections du fichier : <code>objdump -h /boot/efi/EFI/Linux/1-debian.efi</code>
# extraire un élément (exemple pour le noyau et l{{'}}''initrd'') :
## <code>objcopy -O binary -j.linux /boot/efi/EFI/Linux/1-debian.efi /tmp/vmlinuz</code>
## <code>objcopy -O binary -j.initrd /boot/efi/EFI/Linux/1-debian.efi /tmp/initrd</code>

==Sources de la section==
* https://uapi-group.org/specifications/specs/unified_kernel_image/
* https://0pointer.de/blog/brave-new-trusted-boot-world.html
* https://wiki.debian.org/EFIStub#Setting_up_a_Unified_Kernel_Image

=Secure Boot=

{{info|Cette section est facultative.}}

''Secure Boot'' ([https://uefi.org/sites/default/files/resources/UEFI_Spec_2_3_1.pdf chapitre 27] des spécification ''UEFI'') est une fonctionnalité apparue avec la version 2.3.1 de l{{'}}''UEFI'' permettant de borner l'amorçage aux seuls systèmes dont la signature cryptographique est reconnue par sa base interne. Son intérêt principal est d'empêcher l'exécution de code ayant été ajouté à l{{'}}''UEFI PE'' à l'insu de l'administrateur de la machine mais il peut également servir, entre-autre, à empêcher tout autre système (amorçage ''USB'' par exemple) de démarrer.

Afin que cette fonction ai un sens, il est préférable de n'autoriser que vos propres clés. Ceci n'est malheureusement pas possible sur la plupart des ''PC'' du marcher. En effet, les ''UEFI'' des machines grand publique embarquent celles de ''Microsoft'' pour le démarrage de ''Windows'' (obligatoire pour bénéficier de la certification idoine) et elles ne proposent pas (dans toutes celles que j'ai vu) de fonction pour gérer la base interne de clés (elles ne proposent bien souvent même pas d'administrer les entrées de démarrage...). Il est peut-être possible de contourner cette limitation avec l'outil <code>mokutil</code> mais je n'ai pas creusé cette piste... La problématique des clés ''Microsoft'' est bien entendu que leur présence rend caduc l'exclusivité de la validité de vos signatures. Qui peut utiliser leur clé ? L'administration de ce paramètre semble donc réservée aux ordinateurs professionnels (les ''DELL XPS'' le permettent) et aux plateformes serveurs.

Il convient en outre de s'assurer qu'aucun accès physique non autorisé à la machine n'a lieu car les gros malins qui ont rédigés les spécifications de l{{'}}''UEFI'' n'ont pas crus bon d'imposer le stockage de sa configuration en mémoire morte... L'utilisation d'une mémoire vive maintenue par une pile comme sur l'antique ''BIOS'' ayant retenu leur préférence, le débranchement de cette dernière engendrera une réinitialisation complète des paramètres et de la base de clés ''Secure Boot'' (permettant ainsi l'introduction de toute forme de charges utiles au démarrage). Ceci aura donc pour effet de ruiner la mince barrière de sécurité que nous venons de mettre en place...

Enfin, un mot de passe d'accès aux paramètres de l{{'}}''UEFI'' reste tout de même une pratique à suivre afin de vous assurer qu'aucune injection de clé non autorisée n'ai lieu. Dans le cas d'une réinitialisation par débranchement de la pile, vous saurez au moins qu'une action physique a été opérée sur la machine et pourrez entreprendre les mesures qui s'imposent (à commencer par ne surtout pas taper votre phrase de passe [[Cryptsetup|LUKS]] !). Vous pourrez par la suite vérifier la signature de votre ''UKI'' via un autre système pour s'assurer de son intégrité (pensez également à vérifier la présence d'enregistreurs de frappes [https://www.youtube.com/watch?v=AMzv6ymmUcw matériels]).

==Glossaire==
La base de clés de ''Secure Boot'' comporte cinq [https://www.malekal.com/quest-ce-que-secure-boot-protection-pc-uefi-comment-ca-marche/ sections] :
* '''MOK''' (''Machine Owner Key'') : base de données contenant les clés de l'utilisateur - inutile pour cette procédure
* '''PK''' (''Plateform Key'') : base de données contenant les clés de la machine - utile pour cette procédure
* '''DB''' (''Data Base'') : base de données des clés autorisées (liste blanche) - utile pour cette procédure
* '''KEK''' (''Key Exchange Keys'') : aucune idée - inutile pour cette procédure
* '''DBX''' : (''Data Base'' <introuvable dans les specs mais probablement ''Exclusion''>) : base de données des clés interdites (liste noire) - inutile pour cette procédure

==Génération de clés==
Création du répertoire de travail
mkdir -p /usr/local/lib/secureboot/mok

Génération d'une clé privée ''RSA'' 4096 bits (le maximum possible avec ''Shim'' - que nous n'utilisons pas - est, aux dernières nouvelles ([https://wiki.debian.org/SecureBoot#Generating_a_new_key 21/06/2022]) 2048 bits) et d'un certificat public associé
openssl req -nodes -new -x509 -newkey rsa:4096 -keyout /usr/local/lib/secureboot/mok/MOK.priv -outform DER -out /usr/local/lib/secureboot/mok/MOK.der -days 36500 -subj "/CN=Mon Nom/"

Conversion du certificat en ''PEM'' afin d'être utilisable par <code>sbsign</code>
openssl x509 -inform der -in /usr/local/lib/secureboot/mok/MOK.der -out /usr/local/lib/secureboot/mok/MOK.pem

Empêcher la lecture de ces fichiers par un autre utilisateur que root
chmod 400 /usr/local/lib/secureboot/mok/{MOK.priv,MOK.der,MOK.pem}

Les étapes qui suivent sont réalisées automatiquement par le script créé plus haut et sont notées à titre indicatif.

Le certificat au format ''PEM'' est utilisé par les commandes du paquet <code>sbsigntool</code> alors que la ''DER'' est utilisée par les ''UEFI'' (pourquoi utiliser le même format hein ?). il doit être renseignée deux fois dans les menus de gestion des clés de votre carte mère :
* une fois dans ''Plateform Key'' (''PK'')
* l'autre dans ''DB'' (''Authorized Signatures'')

Le certificat ''DER'' doit être accessible à l{{'}}''UEFI'' pour injection. Vous pouvez le mettre dans toute partition ''FAT'' comme votre ''ESP'' <code>/boot/efi/EFI/</code> ou sur une clé ''USB'' afin de l'y sélectionner depuis le menu dédié (peut être supprimé à l'issue).

==Signature de l'image==
Dans la commande qui suit, la signature de l'image va réécrir par dessus l'originale (sa somme de contrôle va changer). Ce comportement est volontaire mais peut être changé en modifiant la valeur de <code>--output</code>
sbsign --key /usr/local/lib/secureboot/mok/MOK.priv --cert /usr/local/lib/secureboot/mok/MOK.pem --output /boot/efi/EFI/Linux/1-debian.efi /boot/efi/EFI/Linux/1-debian.efi

Vérification de la signature
sbverify --cert /usr/local/lib/secureboot/mok/MOK.pem /boot/efi/EFI/Linux/1-debian.efi

Une fois ''Secure Boot'' activé et votre système démarré, vous pouvez vérifier l'effectivité de cette fonctionnalité via la commande suivante du paquet <code>mokutil</code>
mokutil --sb-state

{{astuce|La signature d'un module noyau complilé par vous même peut se faire via la commande suivante (exemple pour le pilote <code>ixgbe</code>) : <code>/usr/lib/linux-kbuild-6.1/scripts/sign-file sha512 /usr/local/lib/secureboot/mok/MOK.{priv,der} /lib/modules/6.1.0-17-amd64/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko /tmp/ixgbe.ko</code>.}}

==Sources de la section==
* https://uefi.org/specifications
* https://wiki.debian.org/SecureBoot#Generating_a_new_key
* https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

Shell bash

2025-04-29T11:04:08Z

Ycharbi : Ajout d'un descriptif pour le fichier .inputrc + ajout de deux sections + suppression de la balise source obsolète + ajout de sources

[[Category:shell]]
Le ''shell Bash'' est l'interpréteur de commandes par défaut de la plupart des distributions Linux. Il peut être personnalisé en modifiant son apparence ou en lui activant des paramètres.

=Configuration=
==bashrc==
Le <source lang="bash" inline>.bashrc</source> est un fichier qui contient des commandes à exécuter au moment de la connexion d'un utilisateur. Il en existe 2 types :
* Un générique pour tout les utilisateurs : <source lang="bash" inline>/etc/bash.bashrc</source>
* Un local pour chaque utilisateurs en particulier : <source lang="bash" inline>~/.bashrc</source>
Pour que les modifications prennent effet, il faut recharger le fichier après modification soit en relançant le shell, soit en exécutant le fichier comme s'il s’agissait d'une commande <source lang="bash" inline>. .bashrc</source> ou bien en utilisant la commande <source lang="bash" inline>source ~/.bashrc</source>.

===Auto complétion===
Le paquet <source lang="bash" inline>bash-completion</source> offre la possibilité de compléter les commandes bash à l'aide de la tabulation. Il faut entrer les quelques lignes suivantes dans l'un des fichiers de configuration de bash pour que cela prenne effet.
<source lang="bash">
if ! shopt -oq posix; then
if [ -f /usr/share/bash-completion/bash_completion ]; then
. /usr/share/bash-completion/bash_completion
elif [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi
fi
</source>

===Personnalisation du prompt===
==inputrc==
Le [https://ss64.com/bash/syntax-inputrc.html fichier] <code>~/.inputrc</code> contient la configuration de [https://tiswww.case.edu/php/chet/readline/rltop.html GNU Readline] qui procure une personnalisation de l'interface utilisateur en ligne de commande pour de nombreux programmes interactifs tel que ''Bash et ''Python''.

===Insensibilité à la casse===
Rendre insensible l'auto complétion du ''shell Bash'' à la casse (très utile quand on tape vite au clavier et que le système écrit ''/Etc'' au lieu de ''/etc'' et dit <code>Aucun fichier ou dossier de ce type</code>)
vim ~/.inputrc

Ajouter cette ligne :
set completion-ignore-case On

===Désactiver display all possibilities===
Lorsque l'auto complétion détecte un nombre d'items supérieur ou égal à 100, un prompt demandant confirmation pour l'affichage des possibilités s'affiche et exige une réponse (<code>Display all N possibilities? (y or n)</code>). Pour désactiver ce comportement, les valeurs [https://superuser.com/questions/601992/how-can-i-disable-that-display-all-possibilities-and-more-stuff-in-bash suivantes] doivent êtres définies dans le fichier <code>~/.inputrc</code>
set completion-query-items 0
set page-completions off

===Coloration de l'auto complétion===
Par défaut, l’appui double sur <code><tab></code> affiche les possibilités en monochrome. Il est possible d'utiliser les couleurs définies dans la variables d'environnement <code>$LS_COLORS</code> en ajoutant le paramètre suivant à la configuration
set colored-stats On

===Sources de la section===
* http://askubuntu.com/questions/87061/can-i-make-tab-auto-completion-case-insensitive-in-the-terminal
* https://www.topbug.net/blog/2017/07/31/inputrc-for-humans/
* https://ss64.com/bash/syntax-inputrc.html

=Redirections=
==Rediriger plusieurs lignes==
Pour ce faire nous utiliserons un EOF (End Of File). Il faut précéder et succéder une chaîne de caractère quelconque par des traits de soulignement afin de marquer le début et la fin de notre bloque de texte (à la manière du ''motd'' Cisco).

===Dans un fichier===
<source lang="bash">
ycharbi@XPS13:/tmp$ cat << '_EOF_' > foo.txt
> Écrire et
> terminer par le
> même symbole
> _EOF_
ycharbi@XPS13:/tmp$ cat foo.txt
Écrire et
terminer par le
même symbole
</source>

===Dans le shell===
<source lang="bash">
ycharbi@XPS13:/tmp$ cat << _EOF_
> Écrire et
> terminer par le
> même symbole
> _EOF_
Écrire et
terminer par le
même symbole
</source>

{{Astuce|Le fait de mettre des quottes au mot clé de fin de fichier (''_EOF_'' dans l'exemple, mais pourrai être ''toto'') permet de désactiver l'interprétation ''Bash''. Si vous ne les mettez pas, le ''shell'' interprétera le code que vous entrerez (les variables notamment). À vous de voir ce que vous voulez faire. Ceci est expliqué dans ce [http://tldp.org/LDP/abs/html/here-docs.html chapitre] du guide de programmation ''Bash'' avancé repris par ce [https://stackoverflow.com/questions/2953081/how-can-i-write-a-heredoc-to-a-file-in-bash-script commentaire].}}

===Source de la section===
* https://www.bggofurther.com/fr/2017/10/write-multiple-lines-to-file-in-bash-script/

=Arguments=
Voici une liste d'astuces pour récupérer des arguments tapés en ''bash'':
{| class="wikitable"
|-
! Argument !! Signification
|-
| <source lang="bash" inline><Échap> + _</source> || Colle le dernier argument passé à la dernière commande tapée
|-
| <source lang="bash" inline>!$</source> || Équivaut, au moment d'envoyer la commande, au dernier argument passé à la dernière commande tapée
|-
| <source lang="bash" inline>!:$</source> || Équivaut, au moment d'envoyer la commande, à l’énième argument passé à la dernière commande tapée (remplacer le <source lang="bash" inline>$</source> par le numéro de l'argument)
|-
| <source lang="bash" inline>!!</source> || Équivaut, au moment d'envoyer la commande, à tout les arguments de la dernière commande tapée
|-
| <source lang="bash" inline>^toto^titi</source> || Permet de remplacer ''toto'' par ''titi'' dans la commande précédente (à entrer seul, sans commande ni argument). Un <source lang="bash" inline>ls /etc</source> suivi d'un <source lang="bash" inline>^/etc^/</source> donnera un <source lang="bash" inline>ls /</source>
|-
| <source lang="bash" inline>~+</source> || Donne le répertoire courant (est identique à <source lang="bash" inline>$(pwd)</source>)
|-
| <source lang="bash" inline><ctrl> + alt + e</source> || Déroule la véritable signification d'un alias. Par exemple, si je tape <source lang="bash" inline>ls</source> suivi de ce raccourci clavier, j'obtiens <source lang="bash" inline>ls --color</source> qui est définit comme alias dans mon <source lang="bash" inline>.bashrc</source>
|-
| <source lang="bash" inline>$_</source> || Correspond au dernier paramètre de la dernière commande exécuté. La différence avec les motifs présentés plus haut est qu'il utilisable même lors d'un enchaînement de commande comme par [https://www.blog-libre.org/2020/04/17/une-presentation-de-systemd-nspawn/ exemple] <source lang="bash" inline>mkdir -p ~/tmp/conteneur && cd $_</source>
|}

=Restriction=
Il est possible de restreindre l'usage du ''shell'' pour un utilisateur en exécutant <syntaxhighlight lang="bash" inline>bash</syntaxhighlight> avec l'option <syntaxhighlight lang="bash" inline>-r</syntaxhighlight> ou en utilisant <syntaxhighlight lang="bash" inline>/usr/bin/rbash</syntaxhighlight> (résultat identique).

L'interpréteur ainsi restreint permet de créer un environnement plus contrôlé qu'un interpréteur standard. Il se comporte de même façon que <syntaxhighlight lang="bash" inline>bash</syntaxhighlight> à la différence des actions suivantes qui sont interdites ou non effectuées :
* changer de répertoire avec <syntaxhighlight lang="bash" inline>cd</syntaxhighlight>
* créer ou détruire les valeurs de <syntaxhighlight lang="bash" inline>SHELL</syntaxhighlight>, <syntaxhighlight lang="bash" inline>PATH</syntaxhighlight>, <syntaxhighlight lang="bash" inline>HISTFILE</syntaxhighlight>, <syntaxhighlight lang="bash" inline>ENV</syntaxhighlight> ou <syntaxhighlight lang="bash" inline>BASH_ENV</syntaxhighlight>
* indiquer des noms de commandes contenant un <syntaxhighlight lang="bash" inline>/</syntaxhighlight>
* indiquer un nom de fichier contenant un <syntaxhighlight lang="bash" inline>/</syntaxhighlight> comme argument de la commande interne <syntaxhighlight lang="bash" inline>.</syntaxhighlight>
* indiquer un nom de fichier contenant une barre oblique (<syntaxhighlight lang="bash" inline>/</syntaxhighlight>) comme argument de la commande interne <syntaxhighlight lang="bash" inline>history</syntaxhighlight>
* indiquer un nom de fichier contenant une barre oblique comme argument de l'option <syntaxhighlight lang="bash" inline>-p</syntaxhighlight> de la commande interne <syntaxhighlight lang="bash" inline>hash</syntaxhighlight>
* importer une définition de fonction dans l'environnement au démarrage
* analyser les valeurs de <syntaxhighlight lang="bash" inline>SHELLOPTS</syntaxhighlight> de l'environnement d'interpréteur au démarrage
* rediriger la sortie en utilisant les opérateurs de redirection <syntaxhighlight lang="bash" inline>></syntaxhighlight>, <syntaxhighlight lang="bash" inline>>|</syntaxhighlight>, <syntaxhighlight lang="bash" inline><></syntaxhighlight>, <syntaxhighlight lang="bash" inline>>&</syntaxhighlight>, <syntaxhighlight lang="bash" inline>&></syntaxhighlight> et <syntaxhighlight lang="bash" inline>>></syntaxhighlight>
* utiliser la commande interne <syntaxhighlight lang="bash" inline>exec</syntaxhighlight> pour remplacer l'interpréteur par une autre commande
* ajouter ou supprimer des commandes internes avec les options <syntaxhighlight lang="bash" inline>-f</syntaxhighlight> et <syntaxhighlight lang="bash" inline>-d</syntaxhighlight> de la commande interne <syntaxhighlight lang="bash" inline>enable</syntaxhighlight>
* utiliser la commande interne <syntaxhighlight lang="bash" inline>enable</syntaxhighlight> pour activer les commandes internes de l'interpréteur désactivées
* indiquer l'option <syntaxhighlight lang="bash" inline>-p</syntaxhighlight> à la commande interne commande
* supprimer le mode restreint avec <syntaxhighlight lang="bash" inline>set +r</syntaxhighlight> ou <syntaxhighlight lang="bash" inline>set +o restricted</syntaxhighlight>

Ces restrictions sont mises en place après la lecture de tous les fichiers d’initialisation.

De fait, il est possible d'utiliser <syntaxhighlight lang="bash" inline>rbash</syntaxhighlight> comme shell de connexion pour un utilisateur donné (exemple pour <syntaxhighlight lang="bash" inline>/etc/passwd</syntaxhighlight>) :

<syntaxhighlight lang="csv">
www-data:x:33:33:www-data:/var/www:/usr/bin/rbash
</syntaxhighlight>

==Sources de la section==
* http://linuxfr.org/users/postroutine/journaux/bash-et-les-raccourcis-claviers
* https://askubuntu.com/questions/70750/how-to-get-bash-to-stop-escaping-during-tab-completion
* https://bugzilla.redhat.com/show_bug.cgi?id=679696
* https://www.gnu.org/software/bash/manual/html_node/The-Restricted-Shell.html#The-Restricted-Shell

Gestion du réseau - windows

2025-03-20T21:29:04Z

Ycharbi : Ajout de la section "Gestion des interfaces réseau"

[[Category:réseau windows]]

=Gestion des interfaces réseau=
==Configuration des interfaces==
La commande [https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/netsh/netsh-contexts netsh] permet de réaliser de multiples opérations sur les interfaces réseau

<syntaxhighlight lang="powershell">
# Afficher la configuration des interfaces réseau (et leur nom)
netsh interface ipv4 show config

# Afficher les statistiques TCP
netsh int tcp show global

# Configurer une IP DHCP
netsh interface ipv4 set address name="NomDeLInterface" dhcp

# Configurer une IP statique
netsh interface ipv4 set address name="NomDeLInterface" static 192.168.1.100 255.255.255.0 192.168.1.1

# Configurer un DNS
netsh interface ipv4 set dns name="NomDeLInterface" static 8.8.8.8

# Configurer un second DNS
netsh interface ipv4 add dns name="NomDeLInterface" 9.9.9.9 index=2

</syntaxhighlight>

===Sources de la section===
* Manuel :
** https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/netsh/netsh-contexts
** https://learn.microsoft.com/fr-fr/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754516(v=ws.10)
** https://learn.microsoft.com/fr-fr/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770948(v=ws.10)
* https://stackoverflow.com/questions/18620173/how-can-i-set-change-dns-using-the-command-prompt-at-windows-8#answer-28262761
* https://www.malekal.com/commande-netsh-windows-exemples-utilisation/

==Réinitialiser les interfaces==
Pour [https://support.microsoft.com/fr-fr/topic/comment-faire-pour-r%C3%A9initialiser-le-protocole-tcp-ip-%C3%A0-l-aide-de-l-utilitaire-netshell-d954430c-9b11-43f0-6081-0fc9235a8b4a réinitialiser] la configuration d'une interface réseau, la commande privilégiée suivante peut être utilisée
netsh int ip reset

Un redémarrage est nécessaire (bah oui, on est sous ''Windows''...).

==Correction de problèmes==
===Winsock===
Le service <code>Winsock</code> (couche d{{'}}''API'' permettant à une application de manipuler la pile ''TCP/IP'' de ''Windows'') peut également avoir besoin d'être redémarrer lorsque des problèmes se font sentir. Cela se fait via la commande privilégiée suivante
netsh winsock reset

===Adresse APIPA en mode IP statique===
Il peut arriver que malgré qu'une interface réseau soit configurée en ''IP'' statique, une adresse principale en [https://fr.wikipedia.org/wiki/Automatic_Private_Internet_Protocol_Addressing APIPA] soit attribuée par le système et que notre ''IP'' entrée manuellement soit indiquée comme "dupliquée" par un <code>ipconfig</code>...

Ceci est dû à la fonction "d{{'}}''ARP'' gratuit" de ''Windows'' qui permet au système de détecter s'il y a un conflit d'adresse ''IP'' sur le ''LAN''. Bien qu'il soit plus judicieux de régler cette duplication d'adressage (une adresse ''IP'' doit être unique dans un réseau), il est possible de [https://community.spiceworks.com/t/static-ip-devices-receiving-169-address-after-reboot/278702/26 désactiver] cette fonction pour forcer la configuration :

<code>regedit</code> > <code>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]</code> > créer un nouveau ''32-bit DWORD'' nommé <code>ArpRetryCount</code> > valeur <code>0</code> > redémarrer

=Gérer la table de routage=
==Lister les routes==
route print

==Ajouter une route==
route ADD 192.168.35.0 MASK 255.255.255.0 192.168.0.2

''Note : le paramètre <syntaxhighlight lang="bash" inline>-p</syntaxhighlight> permet un ajout persistant au démarrage de la machine.''

==Supprimer une route==
route DELETE 192.168.35.0 MASK 255.255.255.0 192.168.0.2

==Source de la section==
* https://www.howtogeek.com/howto/windows/adding-a-tcpip-route-to-the-windows-routing-table/

=Modification du MTU=
==MTU en dessous de 1500 octets==
===Afficher le MTU des interfaces===
netsh interface ipv4 show subinterfaces

===Modifier le MTU d'une interface temporairement===
netsh interface ipv4 set subinterface "Ethernet 2" mtu=1484

===Modifier le MTU d'une interface définitivement===
netsh interface ipv4 set subinterface "Ethernet 2" mtu=1484 store=persistent

==Trames géantes==
===Activer les trames géantes===
Aller dans le '''''Centre Réseau et partage''''' et cliquer sur le nom de l'interface réseau. Faire '''''propriétés'' > ''Configurer'' > ''Avancer'' > ''Trame jumbo'' > et définir la valeur souhaité (mon réseau permet des trames de 9 ko)'''. Il faut ensuite redémarrer la machine pour prendre en compte la modification.

===Test des trames géantes===
Il est possible de vérifier le fonctionnement de ce changement via un ping géant:
ping 192.168.10.1 -f -l 9000

==Sources la section==
* https://answers.microsoft.com/fr-fr/windows/forum/windows_8-networking/modifier-le-mtu-sous-windows-8/e7e76cf4-0fea-458f-8781-7b73a93bef0e
* https://www.it-connect.fr/jumbo-frame-sous-windows-pourquoi-comment/

Firefox

2025-02-15T15:37:58Z

Ycharbi : Ajout de la section "Désactiver la redirection HTTPS automatique"

Qbittorrent

2025-02-15T15:03:03Z

Ycharbi : Correction de fautes + changement de certaines balises + ordonnancement de la page en sections + ajout d'une section "Script post téléchargement"

[[Category:Outils de téléchargements]]

[https://www.qbittorrent.org/ Qbittorrent] est un client [https://fr.wikipedia.org/wiki/BitTorrent Bittorrent] libre multi-plateforme sur [https://fr.wikipedia.org/wiki/FreeBSD FreeBSD], [https://fr.wikipedia.org/wiki/Linux Linux], [https://fr.wikipedia.org/wiki/MacOS MacOS], [https://fr.wikipedia.org/wiki/OS/2 OS/2] et [https://fr.wikipedia.org/wiki/Microsoft_Windows Windows]. Basé sur le cadriciel [https://www.qt.io/ QT], il dispose d'un démon, d'une interface graphique optionnelle, et d'une interface ''WEB'' installable dans le cas d'une nécessité d'accès distant. Il est léger et très simple à mettre en œuvre dans un usage serveur.

=Usage serveur=
Ce logiciel peut être utilisé dans le cadre d'un service de téléchargement ''Bittorrent'' hébergé sur un serveur ([https://fr.wikipedia.org/wiki/Seedbox seedbox]). Dans ce cas, une interface graphique n'est pas requise et il est souhaitable de passer par ''HTTP'' pour l'interaction avec lui.

=Installation=
Installation via le paquet disponible dans la distribution ''GNU/Linux Debian 11''
apt install --no-install-recommends qbittorrent-nox

Ajout d'un utilisateur pour lancer le service
adduser --system --group qbittorrent-nox

Création du service
mkdir -p /usr/local/etc/systemd/system/
vim /usr/local/etc/systemd/system/qbittorrent-nox.service

<syntaxhighlight lang="bash">
[Service]
Type=forking
User=qbittorrent-nox
Group=qbittorrent-nox
UMask=007
ExecStart=/usr/bin/qbittorrent-nox -d --webui-port=8080
Restart=always

[Install]
WantedBy=multi-user.target
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/qbittorrent-nox.service /etc/systemd/system/

Activation du service et démarrage du programme
systemctl daemon-reload
systemctl enable qbittorrent-nox
systemctl start qbittorrent-nox
systemctl status qbittorrent-nox

Une chiée de port a par la suite été ouvert et c'est par le ''TCP/8080'' que l'on prendre en main l'outil.

{{info|L'identifiant par défaut est <code>admin</code> avec comme mot de passe <code>adminadmin</code>. Il est bien évidemment destiné à être changé par vos soins.}}

==Source de la section==
* https://www.linuxcapable.com/install-qbittorrent-on-debian-linux/

=Configuration=
La configuration du logiciel se trouve dans le fichier <code>~/.config/qBittorrent/qBittorrent.conf</code>. En l'absence de modification de celle-ci, ce dernier est presque vide et les valeurs par défaut sont chargées de façon transparente au démarrage. Ce n'est qu'à la modification d'une option qu'il se remplira des valeurs de chaque onglet des paramètres.

==Journalisation==
Vous pouvez [https://github.com/qbittorrent/qBittorrent/issues/6033#issuecomment-266416355 journaliser] les événements du logiciel avec les paramètres suivants :

<syntaxhighlight lang="ini">
[Application]
FileLogger\Enabled=true
FileLogger\Age=6
FileLogger\DeleteOld=true
FileLogger\Backup=true
FileLogger\AgeType=1
FileLogger\Path=/chemin/du/fichier/de/journal/
FileLogger\MaxSize=10
</syntaxhighlight>

Où :
* '''FileLogger\Backup=''' : sauvegarde du fichier de journal lorsque celui-ci est plus grand que la limite définie dans <code>FileLogger\MaxSize= x</code> (mégaoctet)
* '''FileLogger\DeleteOld=''' : supprime le journal (roulement) après la valeur de <code>FileLogger\Age= 6</code> où <code>FileLogger\AgeType= x</code> dont ''x'' peut être ''0=jours''; ''1=mois''; ''2=années''

==Script post téléchargement==
Il est possible de faire exécuter un script par le démon à la fin d'un téléchargement. Ceci peut être utile pour, par exemple, [https://github.com/qbittorrent/qBittorrent/issues/8016 permettre la lecture] des fichiers par un autre compte de service les rendant disponible via un protocole de partage sur réseau ''TCP/IP''.

<syntaxhighlight lang="bash">
cat << '_EOF_' > /usr/local/bin/post-fini.sh
#/bin/bash

# Changement des permissions par défaut des fichiers téléchargés
find "$1" -type f -exec chmod 644 -- {} +
find "$1" -type d -exec chmod 755 -- {} +
_EOF_
</syntaxhighlight>

chmod +x /usr/local/bin/post-fini.sh

Ce fichier exécutable est alors à spécifier dans la configuration de ''Qbittorrent'' au menu <code>Option</code> (icône de roue crantée) > <code>Téléchargements</code> > <code>Lancer un programme externe à la fin d'un téléchargement</code> > entrer dans le champ de texte <code>/bin/bash /usr/local/bin/post-fini.sh "%F"</code> et sauvegarder.

Cette opération a pour effet d'ajouter la section suivante à la configuration du démon

<syntaxhighlight lang="ini">
[AutoRun]
enabled=true
program=/bin/bash /usr/local/bin/post-fini.sh \"%F\"
</syntaxhighlight>

Compilation de paquets de la distribution debian

2025-02-15T14:18:02Z

Ycharbi : Page créée avec « Category:compilation Sous ''GNU/Linux Debian'', il est possible de compiler et empaqueter un programme via les sources mises à disposition par ses [https://debian-handbook.info/browse/fr-FR/stable/sect.becoming-package-maintainer.html mainteneurs] dans les dépôts APT officiels. Cette méthode permet de générer un fichier ''.deb'' utilisant les mêmes options que le paquet proposé de base dans la distribution (ceci s'inscrit dans la d... »

[[Category:compilation]]

Sous ''GNU/Linux Debian'', il est possible de compiler et empaqueter un programme via les sources mises à disposition par ses [https://debian-handbook.info/browse/fr-FR/stable/sect.becoming-package-maintainer.html mainteneurs] dans les dépôts [[:Category:apt|APT]] officiels. Cette méthode permet de générer un fichier ''.deb'' utilisant les mêmes options que le paquet proposé de base dans la distribution (ceci s'inscrit dans la démarche [https://wiki.debian.org/ReproducibleBuilds ReproducibleBuilds] du projet). Il est alors possible d'y apporter ses propres modifications, appliquer des patchs ou utiliser des options de compilations différentes avant génération du paquet.

De plus et contrairement à la méthode traditionnelle du <code>./configure</code> ; <code>make</code> puis <code>make install</code>, le procédé présenté dans cette documentation rend trivial l'installation des dépendances permettant la compilation complète du code sans devoir le faire, fort péniblement, de façon empirique et après s'être tapé une foultitude d'erreurs par itération de compilation (quand on y arrive, ce qui n'est même pas joué d'avance...). Enfin, la phase de compilation et d'empaquetage se réalise d'elle même et sans erreur (comme c'est agréable). Il en résulte un certain nombre de fichiers ''.deb'' permettant l'installation du programme.

Ajout de la branche contenant les sources des paquets ''Debian Bookworm'' à la [[Sources.list|liste d'APT]]
echo "deb-src http://ftp2.fr.debian.org/debian bookworm main" >> /etc/apt/sources.list

Mise à jour du catalogue ''APT''
apt update

Téléchargement des dépendances nécessaires à la compilation du binaire et à la construction de son paquet ([[Ffmpeg|ffmpeg]] pour l'exemple)
apt build-dep ffmpeg

Création du répertoire de travail
mkdir /usr/local/src/ffmpeg && cd /usr/local/src/ffmpeg

Téléchargement des fichiers sources et de construction
apt source ffmpeg

Déplacement dans le répertoire des sources du programme
cd ffmpeg-5.1.6

{{astuce|Il est possible de modifier les options de compilation dans le script du mainteneur pour la construction du paquet <code>./debian/rules</code>.}}

Compilation et empaquetage du programme
dpkg-buildpackage -us -uc -b

Installation sur la machine cible. Les dépendances du paquet seront téléchargées sur le dépôt distant ou devront elles-aussi être compilés puis empaquetées de la même manière
apt install ../ffmpeg_5.1.6-0+deb12u1_amd64.deb

Test du programme
ffmpeg -protocols

=Sources=
* https://www.debian.org/doc/
* https://www.debian.org/doc/manuals/maint-guide/
** dont : https://www.debian.org/doc/manuals/maint-guide/build.fr.html
* hiérarchie des commandes : https://www.debian.org/doc/manuals/maint-guide/build.fr.html#hierarchy
* https://manpages.debian.org/unstable/dpkg-dev/dpkg-buildpackage.1.en.html
* https://manpages.debian.org/unstable/debhelper/dh_auto_configure.1.en.html
* https://wiki.debian.org/ReproducibleBuilds

Compilation linux

2025-02-15T13:23:18Z

Ycharbi : Ajout de la catégorie "Compilation"

[[Category:noyau_linux]]
[[Category:debian]]
[[Category:compilation]]
Ce document traite de la compilation d'un noyau Linux.
{{attention|La compilation prend plusieurs heures (environs 2h30 sur mon core i7 960). Ne commencez pas l'opération si vous allez vous coucher et que votre PC fait un bruit d'avion à coté de votre lit (ça sent le vécu)...}}
La compilation d'un noyau se fait en passant des paramètres sous forme de variables dans un fichier de configuration nommé ''.config''.
=Compilation Linux Debian=
==Depuis une configuration existante==
===Préparation===
'''Téléchargement des sources de Linux'''
wget https://cdn.kernel.org/pub/linux/kernel/v4.x/linux-4.13.tar.xz
''Note : Vous trouverez les sources de la version du noyau que vous désirez sur le site [http://kernel.org officiel du noyau].''

'''Décompression des sources'''
tar xf linux-4.13.tar.xz && cd linux-4.13/
'''Installation des dépendances'''
apt install kernel-package libncurses5-dev fakeroot wget bzip2 build-essential
''Note : le paquet kernel-package n'est pas disponible dans Stretch. Utilisez une autre branche pour l'installation''.

'''Nettoyage de l'archive'''
make clean && make mrproper
Explications:
* '''make clean''' : Supprime la plupart des fichiers générés (nécessaires à la compilation mais non utilises à l'issue) mais garde la config'.
* '''make mproper''' : Supprime tous les fichiers générés précédemment ainsi que la config et des fichiers de sauvegarde (purge totalement l'archive - mproper = Mr Propre).
===Configuration===
'''Importation des paramètres du noyau actuel'''
cp /boot/config-`uname -r` .config

'''Prise en compte du fichier de configuration'''

''Note : Cette partie est peu être inutile, vérifier''.
make menuconfig
Allez sur ''Load'' et importer le ''.config''.

'''Nettoyer les fichiers de compilation'''
make-kpkg clean

===Compilation===
'''Compiler le noyau'''
fakeroot make-kpkg --initrd --append-to-version=-custom kernel_image kernel_headers
{{info|Cette opération va générer deux fichier ''.deb'':
* linux-headers-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb
* linux-image-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb
Leur installation avec un ''dpkg -i'' créera le fichier ''/boot/initrd.img-4.13.0-custom'' et ''/boot/vmlinuz-4.13.0-custom''.}}
===Installation===
'''Depuis une installation sur une mémoire morte'''
dpkg -i linux-headers-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb linux-image-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb
''Note : les fichiers '''/boot/initrd.img-4.13.0-custom''' et '''/boot/vmlinuz-4.13.0-custom''' sont désormais présents dans '''/boot'''.

'''Depuis un squashfs'''

L'installation de ces paquets utilise l'emplacement ''/lib/live/mount/medium/live'' qui ne contient pas d'espace libre (il y a donc une erreur à l'installation). Pour combler cette lacune, exécuter cette commande:

mount -t tmpfs -o rw,relatime,size=1G tmpfs /lib/live/mount/medium/ && mkdir /lib/live/mount/medium/live

On peut désormais installer les paquets sans encombre et récupérer leur résultat dans '''/boot''' pour un [[Serveur PXE|amorçage PXE]]
dpkg -i linux-headers-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb linux-image-4.13.0-custom_4.13.0-custom-10.00.Custom_amd64.deb
===Sources de la section===
* Vidéo ''[https://www.youtube.com/watch?v=KRCfkahi2HQ How To Compile a Kernel on Debian Linux]''
* https://linuxfr.org/users/gogo/journaux/kernel-make-mrproper-et-make-clean

Catégorie:Compilation

2025-02-15T13:10:00Z

Ycharbi : Page créée avec « Category:linux En informatique, la [https://doc.ubuntu-fr.org/tutoriel/compilation compilation] (d'un logiciel ou d'une bibliothèque) est une procédure par laquelle un code source (format compréhensible par un humain, type ASCII) est transformé en code binaire, un langage compréhensible par un ordinateur, dans le but d'être exécuté. Un logiciel est alors compilé afin de pouvoir être lancé par l'utilisateur. Sous ''GNU/Linux'', ce procéder permet... »

[[Category:linux]]
En informatique, la [https://doc.ubuntu-fr.org/tutoriel/compilation compilation] (d'un logiciel ou d'une bibliothèque) est une procédure par laquelle un code source (format compréhensible par un humain, type ASCII) est transformé en code binaire, un langage compréhensible par un ordinateur, dans le but d'être exécuté. Un logiciel est alors compilé afin de pouvoir être lancé par l'utilisateur.

Sous ''GNU/Linux'', ce procéder permet de construire des composant exploitable par le système en fonction de l'architecture processeur ciblée. Le code source de l'écrasante majorité de ceux-ci étant disponible et utilisable sous les termes d'une [https://fr.wikipedia.org/wiki/Licence_libre licence d'exploitation libre], il n'est pas rare de recourir à cette pratique pour tester, patcher ou contribuer à un projet à destination de cet environnement.

Ffmpeg

2025-02-13T18:42:49Z

Ycharbi : /* Convertir un fichier */ Ajout d'une explication pour gérer une erreur rencontrée lorsqu'un conteneur média contient un flux non compatible pour la conversion

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis) :
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

Dans le cas d'une vidéo comportant [https://stackoverflow.com/questions/60445661/ffmpeg-how-do-i-choose-the-correct-audio-track plusieurs] pistes audios, il est possible de sélectionner la désirée de la manière suivante :
ffmpeg -y -ss 00:27:26 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 530 -map 0:v:0 -map 0:a:2 /tmp/titi.mp4.mp4

Paramètres différents :
* '''-map 0:v:0''' : première piste vidéo
* '''-map 0:a:2''' : troisième piste audio

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.

Il peut arriver qu'une [https://stackoverflow.com/questions/57541354/could-not-find-tag-for-codec-h264-in-stream-0-mp4 erreur] similaire à <code>Could not find tag for codec h264 in stream #1</code> survienne sur certains fichiers. C'est le cas par exemple d'un son au format <code>mp3</code> contenant une jaquette au format <code>jpeg</code> (ce qui n'est pas toujours le cas et explique l'apparition apparemment aléatoire de ce problème en fonction du fichier). Le <code>#1</code> indique que le "flux" numéro 1 (le comptage commence à 0 donc il s'agit du deuxième), ici une image ''jpeg'', ne peux être convertie dans le format de destination (cela m'arrive souvent lors de la conversion d'un ''mp3'' en ''m4a'').

Pour corriger cela, il faut tout d'abord identifier le flux que vous voulez convertir via la commande suivante (le retour indiquera les flux présents dans le conteneur sous forme de sections numérotées précédées d'un croisillon)
ffmpeg -i Ten_perds_ton_latin.mp3

Pour, une fois identifié, venir sélectionner spécifiquement ce (ou ces, en le spécifiant plusieurs fois) flux via le paramètre <code>-map</code> suivit de son numéro (j'ai ajouté des paramètres pour la conversion en ''aac'' pour l'exemple)
ffmpeg -y -i Ten_perds_ton_latin.mp3 -map 0:0 -c:a aac -b:a 128k Ten_perds_ton_latin.m4a

Il est également possible d'ajouter d'autres paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2"''' : réduction par deux des dimensions de la vidéo

=Rotation d'une vidéo=
Il n'est pas rare de tomber sur une vidéo capturée via un téléphone en mode portrait du fait d'un utilisateur ayant commencé la prise de vue dans cette orientation et s’étant rendu compte, après coup, qu'il fallait tourner la caméra pour avoir un bon rendu... Il est possible de corriger cela via une [https://www.baeldung.com/linux/ffmpeg-rotate-video rotation] avec le paramètre <code>transpose=0</code> où <code>0</code> correspond à l'orientation à appliquer d'après la liste suivante :
* <code>0</code> : sens inverse des aiguilles d'une montre et inversion verticale (par défaut)
* <code>1</code> : sens des aiguilles d'une montre
* <code>2</code> : sens inverse des aiguilles d'une montre
* <code>3</code> : sens des aiguilles d'une montre et inversion verticale

Exemple :
ffmpeg -i VID_20240415_150506.mp4 -vf "transpose=2" VID_20240415_150506_r2.mp4

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <code>.m3u</code> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Astuces - systemd

2025-01-04T14:59:16Z

Ycharbi : Ajout de la section "Systèmes de fichiers" + remplacement des balises "source" obsolètes + correction d'une faute

[[Category:systemd]]

=Redémarrer dans l'UEFI=
Il est possible de redémarrer la machine directement dans le menu de configuration de l{{'}}''UEFI'' via la commande suivante :
systemctl reboot --firmware-setup

==Source de la section==
* https://superuser.com/questions/519718/linux-on-uefi-how-to-reboot-to-the-uefi-setup-screen-like-windows-8-can?noredirect=1

=Modification d'un service=
==Temps d'attente spécifique==
Un truck ultra pète couille avec ''Systemd'' c'est le temps définit à l'attente de finalisation d'une tâche. Un exemple que vous avez sûrement déjà rencontré : Avec ''Ubuntu'' (vu dernièrement avec la ''16.04'') si vous allumez la machine sans connecter le câble réseau vous avez l'obligation d'attendre au démarrage 5min03 avant de pouvoir utiliser la machine !!! Mais pourquoi avoir développé ça bon sang ? Ils ne testent pas leur système ? Ils ne se rendent pas compte que c'est inutilisable ? On va régler ça avec la bidouille suivante qui consiste à passer de 5min d'attente à 5 secondes, c'est déjà plus supportable.

vim /etc/systemd/system/network-online.target.wants/networking.service

Changez la valeur <code>TimeoutStartSec=5min</code> en :

TimeoutStartSec=5

''Note: l'unité par défaut est la seconde.''

Rechargez la configuration de ''Systemd'' (ou redémarrez le système)

systemctl daemon-reload

==Temps d'attente générique==
Il est possible d’interagir avec le temps d'attente de démarrage et d'arrêt par défaut d'un service (au cas où celui-ci n'est pas renseigné dans son fichier) en spécifiant les valeurs suivantes dans la configuration globale <code>/etc/systemd/system.conf</code> :

DefaultTimeoutStartSec=5s
DefaultTimeoutStopSec=5s

Rechargez la configuration de ''Systemd''

systemctl daemon-reload

==Gestionnaire utilisateur==
Un service mystérieux ralenti considérablement l'extinction de certain ''Debian Stretch'' avec comme message '''a job is running for user manager debian'''. Encore un truck à la con. Il convient d'installer (pour je ne sais quelle raison) le service <code>watchdog</code> pour régler ça (pourquoi c'est pas installé de base si ça permet de régler le problème ?).

apt install watchdog
systemctl enable watchdog
systemctl start watchdog

==Sources de la section==
* https://ubuntuforums.org/printthread.php?t=2323253&pp=10&page=1
* https://unix.stackexchange.com/questions/230986/a-stop-job-is-running-on-shutdown#284488

=Création d'un script de démarrage=
==Simple==
Cette section va expliquer comment faire un service ''Systemd'' qui exécute un script au démarrage du système.

{{info|Ce logiciel étant un peu con, on ne peut pas simplement lui demander d'effectuer une commande, il faut obligatoirement passer par un script, même pour une seul et simple commande...}}

===Création du script du service===
Pour l'exemple, je vais ajouter une règle [[Iptables]] pour faire du ''NAT''.

vim /usr/bin/nat.sh

<syntaxhighlight lang="bash">
#!/bin/sh
iptables -F -t nat
iptables -t nat -A POSTROUTING -s 173.16.0.0/24 -o eth0 -j MASQUERADE
</syntaxhighlight>

Donner les droits d’exécution

chmod +x /usr/bin/nat.sh

===Création du service Systemd===

vim /etc/systemd/system/nat.service

<syntaxhighlight lang="ini">
[Service]
ExecStart=/usr/bin/nat.sh

[Install]
WantedBy=default.target
</syntaxhighlight>

Recharger la configuration de ''Systemd''

systemctl daemon-reload

Activer le service au démarrage

systemctl enable nat.service

Démarrer le service (ceci a pour effet de lancer le script)

systemctl start nat.service

Désactiver le service au démarrage

systemctl disable nat.service

===Source de la section===
* https://linuxconfig.org/how-to-automatically-execute-shell-script-at-startup-boot-on-systemd-linux

==Invite au démarrage==
Cette section va expliquer comment faire un écran posant des questions et exécutant des actions en fonction des réponses au démarrage de la machine (utile si vous faite votre propre distribution ''Linux'').
Je m'en suis servis afin de modéliser un système au démarrage d'un ''PXE squashfs'' en fonction de l'usage prévu par la personne qui démarre.

===Création du script du service===

vim /usr/bin/modelisation

<syntaxhighlight lang="bash">
#!/bin/bash
# Ce script permet de modéliser une machine démarrant en PXE sur un squashfs afin de gagner du temps lors de phases de tests. Il était prévu de le charger via le réseau mais systemd oblige, je n'ai pas eu le choix de le mettre local (quelle merde ce truck...)

# On passe sur le TTY2
chvt 2

# Définition des variables
noyaux=/boot/
aptupdate="debconf-apt-progress -- apt update"
aptinstall="debconf-apt-progress -- apt install -y"

# Création de fichiers vides visant à berner la détection du noyaux des paquets lors de leur installation (nécessaire pour l'installation de certains paquets qui exigent que le noyau soit dans /boot alors que ça n'a aucune importance)
mkdir $noyaux
touch $noyaux/vmlinuz-2 $noyaux/initrd.img-2

dialog --title "Modélisation système" --yesno "Voulez-vous installer un modèle d'utilisation ?" 5 51

if [ $? -eq 0 ]
then
#On passe à l'invite suivante
true
elif [ $? -eq 1 ]
then
#On repasse sur le TTY1
chvt 1
#On sort du programme
exit 0;
else
#On repasse sur le TTY1
chvt 1
exit 1;
fi

exec 3>&1;
choixmodele=$(dialog --menu "Choisir un modèle à installer :" 20 40 3 1 Serveur\ IPSec 2 Serveur\ IPSec\ avec\ wireshark 3 Système\ de\ base 2>&1 1>&3);
exec 3>&-;

if [ $choixmodele -eq 1 ]
then
echo "wireshark-common wireshark-common/install-setuid boolean true" | debconf-set-selections;
$aptinstall strongswan strongswan-pki openvswitch-switch;
elif [ $choixmodele -eq 2 ]
then
echo "wireshark-common wireshark-common/install-setuid boolean true" | debconf-set-selections;
echo "strongswan-starter strongswan/runlevel_changes select" | debconf-set-selections
$aptupdate
$aptinstall strongswan strongswan-pki openvswitch-switch xorg blackbox wireshark;
elif [ $choixmodele -eq 3 ]
then
# On repasse sur le TTY1
chvt 1
exit 0;
else
# On repasse sur le TTY1
chvt 1
exit 1;
fi

# On repasse sur le TTY1
chvt 1

# On sort avec le code 0 (tout est bon)
exit 0
</syntaxhighlight>

===Création du service Systemd===

vim /etc/systemd/system/usage.service

<syntaxhighlight lang="ini">
[Unit]
Description=Modélisation d'un squashfs
After=getty@tty2.service

[Service]
Type=oneshot
ExecStart=/usr/bin/modelisation
StandardInput=tty
TTYPath=/dev/tty2
TTYReset=yes
TTYVHangup=yes

[Install]
WantedBy=default.target
</syntaxhighlight>

Explications : On crée un script [https://www.freedesktop.org/software/systemd/man/systemd.service.html#Type= oneshot] avec pour script de démarrage ''/usr/bin/modélisation'' (les accents ne sont pas pris en charge). On demande à ''Systemd'' d’exécuter ce script dans le ''TTY2'' (on fait ça car sinon le système crache des entrées de journal pendant que l'on répond aux questions) et de nettoyer la console lorsqu'il est terminé.

===Activation du service au démarrage===
On active le service au démarrage de la machine avec la commande suivante

systemctl enable modelisation.service

Si vous voulez modifier le script vous devrez recharger la configuration de ''Systemd'' après les changements avec celle-ci

systemctl daemon-reload

Pour supprimer le service au démarrage on utilise cette commande

systemctl disable modelisation.service

Lors de l'execution du script (pendant qu'il pose des questions), un <code>systemctl status modelisation.service</code> affichera

● modelisation.service - Modélisation d'un squashfs
Loaded: loaded (/etc/systemd/system/modelisation.service; enabled; vendor preset: enabled)
Active: activating (start) since Wed 2017-08-16 15:19:20 CEST; 6s ago
Main PID: 387 (modelisation)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/modelisation.service
├─387 /bin/bash /usr/bin/modelisation
└─394 dialog --title Mod lisation syst me --yesno Voulez-vous installer un mod le d'utilisation ? 5 51

Lorsqu'il sera terminé. la commande affichera

● modelisation.service - Modélisation d'un squashfs
Loaded: loaded (/etc/systemd/system/modelisation.service; enabled; vendor preset: enabled)
Active: inactive (dead)

août 16 15:12:32 systemd systemd[1]: Starting Modélisation d'un squashfs...
août 16 15:12:34 systemd systemd[1]: Started Modélisation d'un squashfs.

Après un redémarrage, il n'y a plus qu'a répondre à vos propres questions.

===Sources de la section===
* https://mespotesgeek.fr/fr/execution-dun-script-interactif-au-boot-avec-systemd/
* http://www.linuxjournal.com/article/2807
* https://askubuntu.com/questions/491509/how-to-get-dialog-box-input-directed-to-a-variable#704616

=Systèmes de fichiers=
==Montages automatiques==
''Systemd'' Gère certains montages lui même sans passer par le fichier <code>/etc/fstab</code> (géré lui même par [https://www.freedesktop.org/software/systemd/man/latest/systemd-remount-fs.service.html systemd-remount-fs.service]). C'est le cas notamment de <code>/tmp</code> monté en ''tmpfs'' sur les systèmes récents. Trois méthodes sont décrites pour désactiver ou modifier ces montages lorsque cela est possible :
# désactiver l'unité de point de montage associée (<code>unité.mount</code>). Pour <code>/tmp</code>, il est possible de faire <code>systemctl mask tmp.mount</code>
# monter un système de fichiers différent au dessus du point de montage en utilisant <code>/etc/fstab</code>
# ajouter une entrée dans <code>/etc/fstab</code> pour modifier les propriétés du montage actuel

Concernant le point numéro un, de plus amples informations sur les trois niveaux de désactivation d'un service ''Systemd'' sont consultables [https://0pointer.de/blog/projects/three-levels-of-off.html ici].

===Sources de la section===
* https://www.freedesktop.org/wiki/Software/systemd/APIFileSystems/
* https://systemd.io/API_FILE_SYSTEMS/

Kms - windows

2024-12-23T19:07:03Z

Ycharbi : Ajout d'un mot manquant + corrections typographiques + ajout d'une mention sur une alternative

[[Category:licences_windows]]

[https://learn.microsoft.com/fr-fr/windows/deployment/volume-activation/volume-activation-windows Key Management Services] (''KMS''), est une méthode d'activation de la licence ''Windows'' via un serveur externe. Cette approche est généralement utilisée dans un parc d'entreprise comportant un nombre conséquent de machines afin d'automatiser la gestion de leur activation en volume ([https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys système d'exploitation] et suite bureautique [https://github.com/MicrosoftDocs/OfficeDocs-DeployOffice/blob/public/office/volume-license-activation/gvlks.md Microsoft Office]).

Ce service fonctionne via le protocole éponyme en échangeant des messages ''Distributed Computing Environment / Remote Procedure Calls'' ([https://en.wikipedia.org/wiki/DCE/RPC DCE/RPC]) sur le port ''TCP/1688''.

=Intérêt=
Dans la mesure où les logiciels de ''Microsoft'' nous sont malheureusement imposés dans nos sociétés Occidentales, l'idée de vouloir cracker les licences, ne serais-ce que par principe, est totalement légitime. Il est toutefois important de comprendre que l'exécution d'un crack peut avoir des conséquences en terme de sécurité. En effet, à moins d'un audit poussé par [https://fr.wikipedia.org/wiki/R%C3%A9tro-ing%C3%A9nierie ingénierie inverse] du code machine composant le binaire de crackage, quel élément garanti l’innocuité de cette pratique ?

Le piratage par exécution de code arbitraire sur une machine comporte donc toujours un risque et si nous pouvions avoir une activation de licence, sans le risque associé au lancement d'un crack, nous aurions alors le beur et l'argent du beur. C'est justement ce que cette documentation aborde : l'utilisation de méthodes officielles pour contourner l'activation des systèmes ''Windows'' clients et serveurs ainsi que les suites ''Office''.

=Prés-requis=
L'éditeur précise que pour utiliser ''KMS'', il faut disposer d’un hôte ''KMS'' disponible sur le réseau local (en réalité, il peut être hébergé sur n'importe quel réseau ''IP''). Les ordinateurs qui s’activent avec celui-ci doivent avoir une clé de produit spécifique appelée clé de licence en volume générique (''Generic Volume License Key - GVLK'') ''Microsoft''. Les ordinateurs qui exécutent des éditions de licence en volume de ''Windows Server'' et client sont, par défaut, des clients ''KMS'' qui ne nécessitent pas de configuration supplémentaire, car la clé ''GVLK'' appropriée est déjà présente.

Il existe toutefois des scénarios où ajouter la clé ''GVLK'' à l’ordinateur que l'on souhaite activer par hôte ''KMS'' est nécessaire :

* conversion d’un ordinateur à l’aide d’une clé d’activation multiple (''MAK'')
* conversion d’une licence de vente au détail de ''Windows'' en client ''KMS''
* si l’ordinateur était auparavant un hôte ''KMS''

Nous aurons donc un serveur en local afin de desservir une multitude de clients.

=Serveur=
Il est possible pour cette partie de configurer un hôte ''KMS'' via la [https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-create-host solution officielle] de ''Microsoft'' sur ''Windows Server'' ou bien de passer par une implémentation libre sous ''Linux''.

==Vlmcsd==
[https://github.com/Wind4/vlmcsd Vlmcsd] est une implémentation libre écrite en langage ''C'' pleinement compatible avec les versions 4, 5 et 6 du protocole ''KMS'' destinée à remplacer le serveur propriétaire assumant ce rôle. On peut donc imaginer de l'héberger dans un [[:Category:Conteneurisation|conteneur]] ''GNU/Linux'' afin de desservir un réseau de clients exploitant le célèbre [https://www.gnu.org/proprietary/malware-microsoft.html maliciel Américain].

Réalisation sous ''Debian 12''. Une archive du dépôt ''git'' utilisée dans la procédure est disponible dans [https://{{SERVERNAME}}/fichiers/windows/licences/kms/20241223-vlmcsd.tar.gz nos fichiers].

<syntaxhighlight lang="bash">
# Installation des outils pour la récupération et la compilation du logiciel
apt update && apt install -y git build-essential

# Récupération du code
cd /tmp
git clone https://github.com/Wind4/vlmcsd.git

# Compilation
cd vlmcsd/
make

# Mise à disposition du binaire
mkdir /opt/vlmcsd
cp -v bin/vlmcsd /opt/vlmcsd

# Création d'un service Systemd
cat << '_EOF_' > /usr/lib/systemd/system/kms.service
[Unit]
Description=KMS Service.
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/kms.pid
ExecStart=/opt/vlmcsd/vlmcsd -p /var/run/kms.pid
ExecReload=/bin/kill -s HUP ${MAINPID}
ExecStop=/bin/kill -s TERM ${MAINPID}
Restart=always

[Install]
WantedBy=multi-user.target
_EOF_

# Activation du service
systemctl daemon-reload
systemctl start kms.service
systemctl status --no-pager kms.service
systemctl enable kms.service
</syntaxhighlight>

{{attention|En cas de mise en production, il est recommandé de mieux cloisonner le service ''Systemd'' en commençant par créer un utilisateur système spécifique et d'exécuter le programme par son intermédiaire.}}

L'outil [https://github.com/SystemRage/py-kms Py-kms] est une [https://loumy.ch/doku.php?id=py-kms alternative] écrite en Python.

==Source de la section==
* https://averainy.com/post/create-kms-service-in-linux/

=Client=
Une clé de licence en volume générique (''Generic Volume License Key - GVLK'') spécifique à l'édition du produit doit être présente sur le poste. Elle sont disponibles sur la [https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys#generic-volume-license-keys page officielle] de l'éditeur.

==Windows==
===Activation===
Pour activer le système d'exploitation (exemple avec [https://logiciels.ycharbi.fr/Windows/OS/Bureau/Windows_11/LTSC/Entreprise/24H2/ Windows 11 enterprise LTSC]) via notre serveur, les quelques commandes suivantes suffisent :
slmgr /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43
slmgr /skms <IP_SERVEUR>
slmgr /ato

{{info|La première commande prépare la clé ; la deuxième spécifie le serveur ''KMS'' et la troisième lui envoi la requête d'enregistrement. Ceci génère un total de 5 paquets ''DCE/RPC'' sur le port ''TCP/1688''.}}

La licence du client est ainsi activée.

===Liste des GVLK===
Dans les tableaux ci-dessous, vous trouverez les clés ''GVLK'' pour chaque version et édition de ''Windows''.

====Windows Server LTSC====
{| class="wikitable"
|+ Windows Server 2025
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2025 Standard || TVRH6-WHNXV-R9WG3-9XRFY-MY832
|-
| Windows Server 2025 Datacenter || D764K-2NDRG-47T6Q-P8T8W-YP6DF
|-
| Windows Server 2025 Datacenter : Azure Edition || XGN3F-F394H-FD2MY-PP6FD-8MCRC
|}

{| class="wikitable"
|+ Windows Server 2022
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2022 Standard || VDYBN-27WPP-V4HQT-9VMD4-VMK7H
|-
| Windows Server 2022 Datacenter || WX4NM-KYWYW-QJJR4-XV3QB-6VM33
|-
| Windows Server 2022 Datacenter : Azure Edition || NTBV8-9K7Q8-V27C6-M2BTV-KHMXV
|}

{| class="wikitable"
|+ Windows Server 2019
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2019 Standard || N69G4-B89J2-4G8F4-WWYCC-J464C
|-
| Windows Server 2019 Datacenter || WMDGN-G9PQG-XVVXX-R3X43-63DFG
|-
| Windows Server 2019 Essentials || WVDHN-86M7X-466P6-VHXV7-YY726
|}

{| class="wikitable"
|+ Windows Server 2016
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2016 Standard || WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
|-
| Windows Server 2016 Datacenter || CB7KF-BWN84-R7R2Y-793K2-8XDDG
|-
| Windows Server 2016 Essentials || JCKRF-N37P4-C2D82-9YXRT-4M63B
|}

====Canal semi-annuel de Windows Server====

{| class="wikitable"
|+ Versions 20H2, 2004, 1909, 1903 et 1809
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server Standard || N2KJX-J94YW-TQVFB-DG9YT-724CC
|-
| Windows Server Datacenter || 6NMRW-2C8FM-D24W7-TQWMY-CWH2D
|}

====Windows 10 et Windows 11====
Les clés sont les mêmes pour les deux générations de système. Seule l'édition compte.

{| class="wikitable"
|+ Windows 10/11
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Professionnel || W269N-WFGWX-YVC9B-4J6C9-T83GX
|-
| Professionnel N || MH37W-N47XK-V7XM9-C7227-GCQG9
|-
| Professionnel pour les Stations de travail || NRG8B-VKK3Q-CXVCJ-9G2XF-6Q84J
|-
| Professionnel pour les Stations de travail N || 9FNHH-K3HBT-3W4TD-6383H-6XYWF
|-
| Professionnel Éducation || 6TP4R-GNPTD-KYYHQ-7B7DP-J447Y
|-
| Professionnel Éducation N || YVWGF-BXNMC-HTQYQ-CPQ99-66QFC
|-
| Éducation || NW6C2-QMPVW-D7KKK-3GKT6-VCFB2
|-
| Éducation N || 2WH4N-8QGBV-H22JP-CT43Q-MDWWJ
|-
| Entreprise || NPPR9-FWDCX-D2C8J-H872K-2YT43
|-
| Entreprise N || DPH2V-TTNVB-4X9Q3-TJR4H-KHJW4
|-
| Entreprise G || YYVX9-NTFWV-6MDM3-9PT4T-4M68B
|-
| Entreprise G N || 44RPN-FTY23-9VTTB-MP9BX-T84FV
|}

====Windows Entreprise LTSC et LTSB====

{| class="wikitable"
|+ Versions LTSC 2019, 2021 et 2024
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || M7XTQ-FN8P6-TTKYV-9D4CC-J462D
|-
| Entreprise N || 92NFX-8DJQP-P6BBQ-THF9C-7CG2H
|}

{| class="wikitable"
|+ IoT LTSC
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| IoT Entreprise || KBN8V-HFGQ4-MGXVD-347P6-PDQGT
|}

{| class="wikitable"
|+ Windows 10 LTSB 2016
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || DCPHK-NFMTC-H88MJ-PFHPY-QJ4BJ
|-
| Entreprise N || QFFDN-GRT3P-VKWWX-X7T3R-8B639
|}

{| class="wikitable"
|+ Windows 10 LTSB 2015
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || WNMTR-4C88C-JK8YV-HQ7T2-76DF9
|-
| Entreprise N || 2F77B-TNFGY-69QQF-B8YKP-D69TJ
|}

Des versions antérieures sont disponibles sur le site officiel en source de la section en cas de besoins spécifiques.

===Sources de la section===
* https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys
* https://wind4.github.io/vlmcsd/
* https://msguides.com/windows-11

==Office==
Toutes les versions sous licence en volume d{{'}}''Office'', y compris ''Project'' et ''Visio'', ont une ''GVLK'' préinstallée. Celles-ci prennent en charge à la fois le service de gestion des clés (''KMS'') et l’activation basée sur ''Active Directory''. Il ne reste alors plus qu'à installez et activez une seule clé hôte ''KMS'' pour activer toutes les versions sous licence en volume d{{'}}''Office''.

===Activation===
La méthode pour la suite bureautique du même constructeur est similaire à celle du système l’hébergeant (exemple avec [https://logiciels.ycharbi.fr/Windows/Logiciel/Office/Office_2016/ Office 2016]).
cd C:\Program Files\Microsoft Office\Office16
cscript ospp.vbs /inpkey:XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99
cscript ospp.vbs /sethst:<IP_SERVEUR>
cscript ospp.vbs /act

{{astuce|J'ignore la raison pour laquelle chaque composant de la suite dispose d'une clé lui étant propre. Dans des conditions réelles, l'installation du pack complet est systématique donc il suffit de renseigner la clé de l'édition (premières lignes des tableaux) choisie pour faire une pierre tous coups (oui j'ai inventé cette locution et alors ?).}}

===Liste des GVLK===
Voici la liste des ''GVLK'' pour les différentes versions et éditions de ''Microsoft Office''.

====Office LTSC 2024====

{| class="wikitable"
! Produit !! GVLK
|-
| Office LTSC Professionnel Plus 2024 || XJ2XN-FW8RK-P4HMP-DKDBV-GCVGB
|-
| Office LTSC Standard 2024 || V28N4-JG22K-W66P8-VTMGK-H6HGR
|-
| Project Professionnel 2024 || FQQ23-N4YCY-73HQ3-FM9WC-76HF4
|-
| Project Standard 2024 || PD3TT-NTHQQ-VC7CY-MFXK3-G87F8
|-
| Visio LTSC Professional 2024 || B7TN8-FJ8V3-7QYCP-HQPMV-YY89G
|-
| Visio LTSC Standard 2024 || JMMVY-XFNQC-KK4HK-9H7R3-WQQTV
|-
| Access LTSC 2024 || 82FTR-NCHR7-W3944-MGRHM-JMCWD
|-
| Excel LTSC 2024 || F4DYN-89BP2-WQTWJ-GR8YC-CKGJG
|-
| Outlook LTSC 2024 || D2F8D-N3Q3B-J28PV-X27HD-RJWB9
|-
| PowerPoint LTSC 2024 || CW94N-K6GJH-9CTXY-MG2VC-FYCWP
|-
| Skype Entreprise LTSC 2024 || 4NKHF-9HBQF-Q3B6C-7YV34-F64P3
|-
| Word LTSC 2024 || MQ84N-7VYDM-FXV7C-6K7CC-VFW9J
|}

====Office LTSC 2021====

{| class="wikitable"
! Produit !! GVLK
|-
| Office LTSC Professionnel Plus 2021 || FXYTK-NJJ8C-GB6DW-3DYQT-6F7TH
|-
| Office LTSC Standard 2021 || KDX7X-BNVR8-TXXGX-4Q7Y8-78VT3
|-
| Project Professionnel 2021 || FTNWT-C6WBT-8HMGF-K9PRX-QV9H8
|-
| Project Standard 2021 || J2JDC-NJCYY-9RGQ4-YXWMH-T3D4T
|-
| Visio LTSC Professionnel 2021 || KNH8D-FGHT4-T8RK3-CTDYJ-K2HT4
|-
| Visio LTSC Standard 2021 || MJVNY-BYWPY-CWV6J-2RKRT-4M8QG
|-
| Access LTSC 2021 || WM8YG-YNGDD-4JHDC-PG3F4-FC4T4
|-
| Excel LTSC 2021 || NWG3X-87C9K-TC7YY-BC2G7-G6RVC
|-
| Outlook LTSC 2021 || C9FM6-3N72F-HFJXB-TM3V9-T86R9
|-
| PowerPoint LTSC 2021 || TY7XF-NFRBR-KJ44C-G83KF-GX27K
|-
| Publisher LTSC 2021 || 2MW9D-N4BXM-9VBPG-Q7W6M-KFBGQ
|-
| Skype Entreprise LTSC 2021 || HWCXN-K3WBT-WJBKY-R8BD9-XK29P
|-
| Word LTSC 2021 || TN8H9-M34D3-Y64V9-TR72V-X79KV
|}

====Office LTSC 2019====

{| class="wikitable"
! Produit !! GVLK
|-
| Office Professionnel Plus 2019 || NMMKJ-6RK4F-KMJVX-8D9MJ-6MWKP
|-
| Office Standard 2019 || 6NWWJ-YQWMR-QKGCB-6TMB3-9D9HK
|-
| Project Professionnel 2019 || B4NPR-3FKK7-T2MBV-FRQ4W-PKD2B
|-
| Project Standard 2019 || C4F7P-NCP8C-6CQPT-MQHV9-JXD2M
|-
| Visio Professionnel 2019 || 9BGNQ-K37YR-RQHF2-38RQ3-7VCBB
|-
| Visio Standard 2019 || 7TQNQ-K3YQQ-3PFH7-CCPPM-X4VQ2
|-
| Access 2019 || 9N9PT-27V4Y-VJ2PD-YXFMF-YTFQT
|-
| Excel 2019 || TMJWT-YYNMB-3BKTF-644FC-RVXBD
|-
| Outlook 2019 || 7HD7K-N4PVK-BHBCQ-YWQRW-XW4VK
|-
| PowerPoint 2019 || RRNCX-C64HY-W2MM7-MCH9G-TJHMQ
|-
| Publisher 2019 || G2KWX-3NW6P-PY93R-JXK2T-C9Y9V
|-
| Skype Entreprise 2019 || NCJ33-JHBBY-HTK98-MYCV8-HMKHJ
|-
| Word 2019 || PBX3G-NWMT6-Q7XBW-PYJGG-WXD33
|}

====Office LTSC 2016====

{| class="wikitable"
! Produit !! GVLK
|-
| Office Professionnel Plus 2016 || XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99
|-
| Office Standard 2016 || JNRGM-WHDWX-FJJG3-K47QV-DRTFM
|-
| Project Professionnel 2016 || YG9NW-3K39V-2T3HJ-93F3Q-G83KT
|-
| Project Standard 2016 || GNFHQ-F6YQM-KQDGJ-327XX-KQBVC
|-
| Visio Professionnel 2016 || PD3PC-RHNGV-FXJ29-8JK7D-RJRJK
|-
| Visio Standard 2016 || 7WHWN-4T7MP-G96JF-G33KR-W8GF4
|-
| Access 2016 || GNH9Y-D2J4T-FJHGG-QRVH7-QPFDW
|-
| Excel 2016 || 9C2PK-NWTVB-JMPW8-BFT28-7FTBF
|-
| OneNote 2016 || DR92N-9HTF2-97XKM-XW2WJ-XW3J6
|-
| Outlook 2016 || R69KK-NTPKF-7M3Q4-QYBHW-6MT9B
|-
| PowerPoint 2016 || J7MQP-HNJ4Y-WJ7YM-PFYGF-BY6C6
|-
| Publisher 2016 || F47MM-N3XJP-TQXJ9-BP99D-8K837
|-
| Skype Entreprise 2016 || 869NQ-FJ69K-466HW-QYCP2-DDBV6
|-
| Word 2016 || WXY84-JN2Q9-RBCCQ-3Q3J3-3PFJ6
|}

===Sources de la section===
* https://learn.microsoft.com/fr-fr/office/volume-license-activation/gvlks
* https://msguides.com/office-2021

Kms - windows

2024-12-23T17:19:33Z

Ycharbi : Page créée avec « Category:licences_windows [https://learn.microsoft.com/fr-fr/windows/deployment/volume-activation/volume-activation-windows Key Management Services] (''KMS''), est une méthode d'activation de la licence ''Windows'' via un serveur externe. Cette approche est généralement utilisée dans un parc d'entreprise comportant un nombre conséquent de machines afin d'automatiser la gestion de leur activation en volume ([https://learn.microsoft.com/fr-fr/windows-serv... »

[[Category:licences_windows]]

[https://learn.microsoft.com/fr-fr/windows/deployment/volume-activation/volume-activation-windows Key Management Services] (''KMS''), est une méthode d'activation de la licence ''Windows'' via un serveur externe. Cette approche est généralement utilisée dans un parc d'entreprise comportant un nombre conséquent de machines afin d'automatiser la gestion de leur activation en volume ([https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys système d'exploitation] et suite bureautique [https://github.com/MicrosoftDocs/OfficeDocs-DeployOffice/blob/public/office/volume-license-activation/gvlks.md Microsoft Office]).

Ce service fonctionne via le protocole éponyme en échangeant des messages ''Distributed Computing Environment / Remote Procedure Calls'' ([https://en.wikipedia.org/wiki/DCE/RPC DCE/RPC]) sur le port ''TCP/1688''.

=Intérêt=
Dans la mesure où les logiciels de ''Microsoft'' nous sont malheureusement imposés dans nos sociétés Occidentales, l'idée de vouloir cracker les licences, ne serais-ce que par principe, est totalement légitime. Il est toutefois important de comprendre que l'exécution d'un crack peut avoir des conséquences en terme de sécurité. En effet, à moins d'un audit poussé par [https://fr.wikipedia.org/wiki/R%C3%A9tro-ing%C3%A9nierie ingénierie inverse] du code machine composant le binaire de crackage, quel élément garanti l’innocuité de cette pratique ?

Le piratage par exécution de code arbitraire sur une machine comporte donc toujours un risque et si nous pouvions avoir une activation de licence, sans le risque associé au lancement d'un crack, nous aurions alors le beur et l'argent du beur. C'est justement ce que cette documentation aborde : l'utilisation de méthodes officielles pour contourner l'activation des systèmes ''Windows'' clients et serveurs ainsi que les suites ''Office''.

=Prés-requis=
L'éditeur précise que pour utiliser ''KMS'', il faut disposer d’un hôte ''KMS'' disponible sur le réseau local (en réalité, il peut être hébergé sur n'importe quel réseau ''IP''). Les ordinateurs qui s’activent avec celui-ci doivent avoir une clé de produit spécifique appelée clé de licence en volume générique (''Generic Volume License Key - GVLK'') ''Microsoft''. Les ordinateurs qui exécutent des éditions de licence en volume de ''Windows Server'' et client sont, par défaut, des clients ''KMS'' qui ne nécessitent pas de configuration supplémentaire, car la clé ''GVLK'' appropriée est déjà présente.

Il existe toutefois des scénarios où ajouter la clé ''GVLK'' à l’ordinateur que l'on souhaite activer par hôte ''KMS'' est nécessaire :

* conversion d’un ordinateur à l’aide d’une clé d’activation multiple (''MAK'')
* conversion d’une licence de vente au détail de ''Windows'' en client ''KMS''
* si l’ordinateur était auparavant un hôte ''KMS''

Nous aurons donc un serveur en local afin de desservir une multitude de clients.

=Serveur=
Il est possible pour cette partie de configurer un hôte ''KMS'' via la [https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-create-host solution officielle] de ''Microsoft'' sur ''Windows Server'' ou bien de passer par une implémentation libre sous ''Linux''.

==Vlmcsd==
[https://github.com/Wind4/vlmcsd Vlmcsd] est une implémentation libre écrite en langage ''C'' pleinement compatible avec les versions 4, 5 et 6 du protocole ''KMS'' destinée à remplacer le serveur propriétaire assumant ce rôle. On peut donc imaginer de l'héberger dans un [[:Category:Conteneurisation|conteneur]] ''GNU/Linux'' afin de desservir un réseau de clients exploitant le célèbre [https://www.gnu.org/proprietary/malware-microsoft.html maliciel Américain].

Réalisation sous ''Debian 12''. Une archive du dépôt ''git'' utilisée dans la procédure est disponible [https://{{SERVERNAME}}/fichiers/windows/licences/kms/20241223-vlmcsd.tar.gz nos fichiers].

<syntaxhighlight lang="bash">
# Installation des outils pour la récupération et la compilation du logiciel
apt update && apt install -y git build-essential

# Récupération du code
cd /tmp
git clone https://github.com/Wind4/vlmcsd.git

# Compilation
cd vlmcsd/
make

# Mise à disposition du binaire
mkdir /opt/vlmcsd
cp -v bin/vlmcsd /opt/vlmcsd

# Création d'un service Systemd
cat << '_EOF_' > /usr/lib/systemd/system/kms.service
[Unit]
Description=KMS Service.
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/kms.pid
ExecStart=/opt/vlmcsd/vlmcsd -p /var/run/kms.pid
ExecReload=/bin/kill -s HUP ${MAINPID}
ExecStop=/bin/kill -s TERM ${MAINPID}
Restart=always

[Install]
WantedBy=multi-user.target
_EOF_

# Activation du service
systemctl daemon-reload
systemctl start kms.service
systemctl status --no-pager kms.service
systemctl enable kms.service
</syntaxhighlight>

{{attention|En cas de mise en production, il est recommandé de mieux cloisonner le service ''Systemd'' en commençant par créer un utilisateur système spécifique et d'exécuter le programme par son intermédiaire.}}

==Source de la section==
* https://averainy.com/post/create-kms-service-in-linux/

=Client=
Une clé de licence en volume générique (''Generic Volume License Key - GVLK'') spécifique à l'édition du produit doit être présente sur le poste. Elle sont disponibles sur la [https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys#generic-volume-license-keys page officielle] de l'éditeur.

==Windows==
===Activation===
Pour activer le système d'exploitation (exemple avec [https://logiciels.ycharbi.fr/Windows/OS/Bureau/Windows_11/LTSC/Entreprise/24H2/ Windows 11 enterprise LTSC]) via notre serveur, les quelques commandes suivantes suffisent :
slmgr /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43
slmgr /skms <IP_SERVEUR>
slmgr /ato

{{info|La première commande prépare la clé ; la deuxième spécifie le serveur ''KMS'' et la troisième lui envoi la requête d'enregistrement. Ceci génère un total de 5 paquets DCE/RPC sur le port TCP/1688.}}

La licence du client est ainsi activée.

===Liste des GVLK===
Dans les tableaux ci-dessous, vous trouverez les clés GVLK pour chaque version et édition de Windows.

====Windows Server LTSC====
{| class="wikitable"
|+ Windows Server 2025
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2025 Standard || TVRH6-WHNXV-R9WG3-9XRFY-MY832
|-
| Windows Server 2025 Datacenter || D764K-2NDRG-47T6Q-P8T8W-YP6DF
|-
| Windows Server 2025 Datacenter : Azure Edition || XGN3F-F394H-FD2MY-PP6FD-8MCRC
|}

{| class="wikitable"
|+ Windows Server 2022
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2022 Standard || VDYBN-27WPP-V4HQT-9VMD4-VMK7H
|-
| Windows Server 2022 Datacenter || WX4NM-KYWYW-QJJR4-XV3QB-6VM33
|-
| Windows Server 2022 Datacenter : Azure Edition || NTBV8-9K7Q8-V27C6-M2BTV-KHMXV
|}

{| class="wikitable"
|+ Windows Server 2019
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2019 Standard || N69G4-B89J2-4G8F4-WWYCC-J464C
|-
| Windows Server 2019 Datacenter || WMDGN-G9PQG-XVVXX-R3X43-63DFG
|-
| Windows Server 2019 Essentials || WVDHN-86M7X-466P6-VHXV7-YY726
|}

{| class="wikitable"
|+ Windows Server 2016
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server 2016 Standard || WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
|-
| Windows Server 2016 Datacenter || CB7KF-BWN84-R7R2Y-793K2-8XDDG
|-
| Windows Server 2016 Essentials || JCKRF-N37P4-C2D82-9YXRT-4M63B
|}

====Canal semi-annuel de Windows Server====

{| class="wikitable"
|+ Versions 20H2, 2004, 1909, 1903 et 1809
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Windows Server Standard || N2KJX-J94YW-TQVFB-DG9YT-724CC
|-
| Windows Server Datacenter || 6NMRW-2C8FM-D24W7-TQWMY-CWH2D
|}

====Windows 10 et Windows 11====
Les clés sont les mêmes pour les deux générations de système. Seule l'édition compte.

{| class="wikitable"
|+ Windows 10/11
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Professionnel || W269N-WFGWX-YVC9B-4J6C9-T83GX
|-
| Professionnel N || MH37W-N47XK-V7XM9-C7227-GCQG9
|-
| Professionnel pour les Stations de travail || NRG8B-VKK3Q-CXVCJ-9G2XF-6Q84J
|-
| Professionnel pour les Stations de travail N || 9FNHH-K3HBT-3W4TD-6383H-6XYWF
|-
| Professionnel Éducation || 6TP4R-GNPTD-KYYHQ-7B7DP-J447Y
|-
| Professionnel Éducation N || YVWGF-BXNMC-HTQYQ-CPQ99-66QFC
|-
| Éducation || NW6C2-QMPVW-D7KKK-3GKT6-VCFB2
|-
| Éducation N || 2WH4N-8QGBV-H22JP-CT43Q-MDWWJ
|-
| Entreprise || NPPR9-FWDCX-D2C8J-H872K-2YT43
|-
| Entreprise N || DPH2V-TTNVB-4X9Q3-TJR4H-KHJW4
|-
| Entreprise G || YYVX9-NTFWV-6MDM3-9PT4T-4M68B
|-
| Entreprise G N || 44RPN-FTY23-9VTTB-MP9BX-T84FV
|}

====Windows Entreprise LTSC et LTSB====

{| class="wikitable"
|+ Versions LTSC 2019, 2021 et 2024
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || M7XTQ-FN8P6-TTKYV-9D4CC-J462D
|-
| Entreprise N || 92NFX-8DJQP-P6BBQ-THF9C-7CG2H
|}

{| class="wikitable"
|+ IoT LTSC
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| IoT Entreprise || KBN8V-HFGQ4-MGXVD-347P6-PDQGT
|}

{| class="wikitable"
|+ Windows 10 LTSB 2016
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || DCPHK-NFMTC-H88MJ-PFHPY-QJ4BJ
|-
| Entreprise N || QFFDN-GRT3P-VKWWX-X7T3R-8B639
|}

{| class="wikitable"
|+ Windows 10 LTSB 2015
|-
! Édition du système d’exploitation !! Clé de produit du client KMS
|-
| Entreprise || WNMTR-4C88C-JK8YV-HQ7T2-76DF9
|-
| Entreprise N || 2F77B-TNFGY-69QQF-B8YKP-D69TJ
|}

Des versions antérieures sont disponibles sur le site officiel en source de la section en cas de besoins spécifiques.

===Sources de la section===
* https://learn.microsoft.com/fr-fr/windows-server/get-started/kms-client-activation-keys
* https://wind4.github.io/vlmcsd/
* https://msguides.com/windows-11

==Office==
Toutes les versions sous licence en volume d{{'}}''Office'', y compris ''Project'' et ''Visio'', ont une ''GVLK'' préinstallée. Celles-ci prennent en charge à la fois le service de gestion des clés (''KMS'') et l’activation basée sur ''Active Directory''. Il ne reste alors plus qu'à installez et activez une seule clé hôte ''KMS'' pour activer toutes les versions sous licence en volume d’Office.

===Activation===
La méthode pour la suite bureautique du même constructeur est similaire à celle du système l’hébergeant (exemple avec [https://logiciels.ycharbi.fr/Windows/Logiciel/Office/Office_2016/ Office 2016]).
cd C:\Program Files\Microsoft Office\Office16
cscript ospp.vbs /inpkey:XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99
cscript ospp.vbs /sethst:<IP_SERVEUR>
cscript ospp.vbs /act

{{astuce|J'ignore la raison pour laquelle chaque composant de la suite dispose d'une clé lui étant propre. Dans des conditions réelles, l'installation du pack complet est systématique donc il suffit de renseigner la clé de l'édition (premières lignes des tableaux) choisie pour faire une pierre tous coups (oui j'ai inventé cette locution et alors ?).}}

===Liste des GVLK===
Voici la liste des ''GVLK'' pour les différentes versions et éditions de ''Microsoft Office''.

====Office LTSC 2024====

{| class="wikitable"
! Produit !! GVLK
|-
| Office LTSC Professionnel Plus 2024 || XJ2XN-FW8RK-P4HMP-DKDBV-GCVGB
|-
| Office LTSC Standard 2024 || V28N4-JG22K-W66P8-VTMGK-H6HGR
|-
| Project Professionnel 2024 || FQQ23-N4YCY-73HQ3-FM9WC-76HF4
|-
| Project Standard 2024 || PD3TT-NTHQQ-VC7CY-MFXK3-G87F8
|-
| Visio LTSC Professional 2024 || B7TN8-FJ8V3-7QYCP-HQPMV-YY89G
|-
| Visio LTSC Standard 2024 || JMMVY-XFNQC-KK4HK-9H7R3-WQQTV
|-
| Access LTSC 2024 || 82FTR-NCHR7-W3944-MGRHM-JMCWD
|-
| Excel LTSC 2024 || F4DYN-89BP2-WQTWJ-GR8YC-CKGJG
|-
| Outlook LTSC 2024 || D2F8D-N3Q3B-J28PV-X27HD-RJWB9
|-
| PowerPoint LTSC 2024 || CW94N-K6GJH-9CTXY-MG2VC-FYCWP
|-
| Skype Entreprise LTSC 2024 || 4NKHF-9HBQF-Q3B6C-7YV34-F64P3
|-
| Word LTSC 2024 || MQ84N-7VYDM-FXV7C-6K7CC-VFW9J
|}

====Office LTSC 2021====

{| class="wikitable"
! Produit !! GVLK
|-
| Office LTSC Professionnel Plus 2021 || FXYTK-NJJ8C-GB6DW-3DYQT-6F7TH
|-
| Office LTSC Standard 2021 || KDX7X-BNVR8-TXXGX-4Q7Y8-78VT3
|-
| Project Professionnel 2021 || FTNWT-C6WBT-8HMGF-K9PRX-QV9H8
|-
| Project Standard 2021 || J2JDC-NJCYY-9RGQ4-YXWMH-T3D4T
|-
| Visio LTSC Professionnel 2021 || KNH8D-FGHT4-T8RK3-CTDYJ-K2HT4
|-
| Visio LTSC Standard 2021 || MJVNY-BYWPY-CWV6J-2RKRT-4M8QG
|-
| Access LTSC 2021 || WM8YG-YNGDD-4JHDC-PG3F4-FC4T4
|-
| Excel LTSC 2021 || NWG3X-87C9K-TC7YY-BC2G7-G6RVC
|-
| Outlook LTSC 2021 || C9FM6-3N72F-HFJXB-TM3V9-T86R9
|-
| PowerPoint LTSC 2021 || TY7XF-NFRBR-KJ44C-G83KF-GX27K
|-
| Publisher LTSC 2021 || 2MW9D-N4BXM-9VBPG-Q7W6M-KFBGQ
|-
| Skype Entreprise LTSC 2021 || HWCXN-K3WBT-WJBKY-R8BD9-XK29P
|-
| Word LTSC 2021 || TN8H9-M34D3-Y64V9-TR72V-X79KV
|}

====Office LTSC 2019====

{| class="wikitable"
! Produit !! GVLK
|-
| Office Professionnel Plus 2019 || NMMKJ-6RK4F-KMJVX-8D9MJ-6MWKP
|-
| Office Standard 2019 || 6NWWJ-YQWMR-QKGCB-6TMB3-9D9HK
|-
| Project Professionnel 2019 || B4NPR-3FKK7-T2MBV-FRQ4W-PKD2B
|-
| Project Standard 2019 || C4F7P-NCP8C-6CQPT-MQHV9-JXD2M
|-
| Visio Professionnel 2019 || 9BGNQ-K37YR-RQHF2-38RQ3-7VCBB
|-
| Visio Standard 2019 || 7TQNQ-K3YQQ-3PFH7-CCPPM-X4VQ2
|-
| Access 2019 || 9N9PT-27V4Y-VJ2PD-YXFMF-YTFQT
|-
| Excel 2019 || TMJWT-YYNMB-3BKTF-644FC-RVXBD
|-
| Outlook 2019 || 7HD7K-N4PVK-BHBCQ-YWQRW-XW4VK
|-
| PowerPoint 2019 || RRNCX-C64HY-W2MM7-MCH9G-TJHMQ
|-
| Publisher 2019 || G2KWX-3NW6P-PY93R-JXK2T-C9Y9V
|-
| Skype Entreprise 2019 || NCJ33-JHBBY-HTK98-MYCV8-HMKHJ
|-
| Word 2019 || PBX3G-NWMT6-Q7XBW-PYJGG-WXD33
|}

====Office LTSC 2016====

{| class="wikitable"
! Produit !! GVLK
|-
| Office Professionnel Plus 2016 || XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99
|-
| Office Standard 2016 || JNRGM-WHDWX-FJJG3-K47QV-DRTFM
|-
| Project Professionnel 2016 || YG9NW-3K39V-2T3HJ-93F3Q-G83KT
|-
| Project Standard 2016 || GNFHQ-F6YQM-KQDGJ-327XX-KQBVC
|-
| Visio Professionnel 2016 || PD3PC-RHNGV-FXJ29-8JK7D-RJRJK
|-
| Visio Standard 2016 || 7WHWN-4T7MP-G96JF-G33KR-W8GF4
|-
| Access 2016 || GNH9Y-D2J4T-FJHGG-QRVH7-QPFDW
|-
| Excel 2016 || 9C2PK-NWTVB-JMPW8-BFT28-7FTBF
|-
| OneNote 2016 || DR92N-9HTF2-97XKM-XW2WJ-XW3J6
|-
| Outlook 2016 || R69KK-NTPKF-7M3Q4-QYBHW-6MT9B
|-
| PowerPoint 2016 || J7MQP-HNJ4Y-WJ7YM-PFYGF-BY6C6
|-
| Publisher 2016 || F47MM-N3XJP-TQXJ9-BP99D-8K837
|-
| Skype Entreprise 2016 || 869NQ-FJ69K-466HW-QYCP2-DDBV6
|-
| Word 2016 || WXY84-JN2Q9-RBCCQ-3Q3J3-3PFJ6
|}

===Sources de la section===
* https://learn.microsoft.com/fr-fr/office/volume-license-activation/gvlks
* https://msguides.com/office-2021

Catégorie:Licences windows

2024-12-23T17:17:13Z

Ycharbi : Page créée avec « Category:Windows [https://fr.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] est une famille de systèmes d'exploitations propriétaires soumis à licences payantes Différentes méthodes d'activation existent, à savoir : * '''activation par Internet''' : méthode courante pour les utilisateurs individuels, où une clé de produit est saisie et le système se connecte à Internet pour valider l'activation * '''activation par téléphone''' : permet... »

[[Category:Windows]]

[https://fr.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] est une famille de systèmes d'exploitations propriétaires soumis à licences payantes
Différentes méthodes d'activation existent, à savoir :
* '''activation par Internet''' : méthode courante pour les utilisateurs individuels, où une clé de produit est saisie et le système se connecte à Internet pour valider l'activation
* '''activation par téléphone''' : permet d'activer ''Windows'' en contactant un centre d'activation de Microsoft si l'activation par Internet n'est pas possible
* '''activation ''KMS'' (''Key Management Service'')''' : utilisée principalement par les entreprises pour activer plusieurs installations de ''Windows'' sur un réseau local via un serveur ''KMS''
* '''activation ''MAK'' (''Multiple Activation Key'')''' : permet d'activer un nombre fixe de copies de ''Windows'' avec une clé ''MAK'', chaque activation étant enregistrée auprès des serveurs de ''Microsoft''
* '''activation par volume''' : destinée aux organisations qui achètent des licences en volume, permettant d'activer plusieurs copies de ''Windows'' avec une seule clé de produit
* '''activation numérique''' : introduite avec ''Windows 10'' et versions ultérieures, permettant d'activer le système sans clé de produit, en liant l'activation à un compte ''Microsoft'' ou au matériel
* '''activation ''OEM'' (''Original Equipment Manufacturer'')''' : clé intégrée au matériel pour les ordinateurs préinstallés avec ''Windows'', généralement liée à l'ordinateur sur lequel le système est installé

Web station - synology

2024-12-18T23:15:16Z

Ycharbi : Page créée avec « Category:Synology [https://www.synology.com/fr-fr/dsm/packages/WebStation Web Station] est une application additionnelle pour [https://www.synology.com/fr-fr/dsm DSM] [https://fr.wikipedia.org/wiki/Synology Synology] disponible dans le gestionnaire de paquets du système. Il permet d'installer et de configurer les serveurs ''WEB'' Apache2 et ''Nginx'' (ce dernier est fourni par défaut) sur le [https://fr.wikipedia.org/wiki/Serveur_de_stockage_en_r%C3%A9... »

[[Category:Synology]]

[https://www.synology.com/fr-fr/dsm/packages/WebStation Web Station] est une application additionnelle pour [https://www.synology.com/fr-fr/dsm DSM] [https://fr.wikipedia.org/wiki/Synology Synology] disponible dans le gestionnaire de paquets du système. Il permet d'installer et de configurer les serveurs ''WEB'' [[Apache2]] et ''Nginx'' (ce dernier est fourni par défaut) sur le [https://fr.wikipedia.org/wiki/Serveur_de_stockage_en_r%C3%A9seau NAS].

=Listage de fichiers=
Bien que complètement aberrant, l'outil ne permet pas de lister les fichiers (''Directory Listing'') d'un hôte virtuel. Cette fonctionnalité, devant de préférence être désactivée lors de l'hébergement de pages ''WEB'' pour des raisons de sécurité, peut être l'objet de la mise en œuvre de certains sites destinés au partage de fichiers. L’absence de cette fonctionnalité est donc particulièrement handicapante, d'autant plus que le serveur renvoie une erreur <code>403</code> sans plus d'explications, même dans les journaux (bo courage pour en trouver l'origine donc)...

Dans la mesure où aucune option de l'interface ''WEB'' ne permet son activation et où, malgré l'apparente bonne idée de la chose, la modification directe des fichiers d'hôtes virtuels de Nginx ne peut se couronner de succès car réinitialisés au démarrage du service, cette section va montrer le cheminement pour tout de même parvenir à une configuration fonctionnelle (''DSM 7.2.2-72806 Update 2'' pour l'exemple).

{{info|Il est nécessaire de se connecter en [[Openssh|SSH]] avec l'utilisateur ''root'' pour effectuer ce qui va suivre.}}

Chaque hôte virtuel, intitulés "Portail Web", créé dans l'application ''Web Station'' ajoute un ensemble de fichiers de configurations portant des noms indevinables à l'avance côté serveur à l'emplacement <code>/usr/local/etc/nginx/sites-enabled/</code> et ayant pour lien symbolique <code>/etc/nginx/sites-enabled</code>.

Ce qui va nous intéresser dans ces fichiers, ce sont les inclusions d'autres configuration car en suivant une chaîne imbriquée, nous allons trouver un endroit pour y mettre le notre de façon persistante (les étapes seront à reproduire pour chaque site).

<syntaxhighlight lang="bash">
# Afficher la dernière ligne de l'hôte virtuel "toto"
tail /usr/local/etc/nginx/sites-enabled/webservice_portal_033b9685-e292-4d50-a85a-a495479c6096
# La ligne qui nous intéresse
# est la suivante : include conf.d/.service.033b9685-e292-4d50-a85a-a495479c6096.45457345-2f5c-449e-8a97-d1fe7f228ffe.conf*;

# Afficher ce fichier pour voir ce qu'il inclus
tail /etc/nginx/conf.d/.service.033b9685-e292-4d50-a85a-a495479c6096.45457345-2f5c-449e-8a97-d1fe7f228ffe.conf
# La dernière ligne nous renvoi l'emplacement d'une
# configuration statique : include /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/user.conf*;

# Le répertoire de destination n'existant pas, il faut le créer
mkdir /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/

# Ajouter la configuration persistante permettant le listage des fichiers
echo 'autoindex on;' > /usr/local/etc/nginx/conf.d/45457345-2f5c-449e-8a97-d1fe7f228ffe/user.conf

# Redémarrer le service
systemctl restart nginx
</syntaxhighlight>

Le listage des fichiers du site via la directive <code>autoindex on;</code> du module [https://nginx.org/en/docs/http/ngx_http_autoindex_module.html ngx_http_autoindex_module] de ''Nginx'' est désormais fonctionnel et persistant aux redémarrages.

Catégorie:Synology

2024-12-18T23:09:57Z

Ycharbi : Page créée avec « Category:Serveur_de stockage_réseau [https://www.synology.com/fr-fr Synology Inc.] est une entreprise taïwanaise fondée en avril 2000 et spécialisée dans les serveurs [https://fr.wikipedia.org/wiki/Serveur_de_stockage_en_r%C3%A9seau Network Attached Storage] (''NAS''). »

[[Category:Serveur_de stockage_réseau]]

[https://www.synology.com/fr-fr Synology Inc.] est une entreprise taïwanaise fondée en avril 2000 et spécialisée dans les serveurs [https://fr.wikipedia.org/wiki/Serveur_de_stockage_en_r%C3%A9seau Network Attached Storage] (''NAS'').

Catégorie:Serveur de stockage réseau

2024-12-18T23:09:16Z

Ycharbi : Page créée avec « Category:Matériels »

[[Category:Matériels]]

Packet tracer

2024-12-07T18:09:58Z

Ycharbi : /* Utilisation sans compte */ Ajout d'une méthode pour Linux Debian ainsi qu'un lien vers le binaire du logiciel pour cette plateforme

[[Category:Cisco]]

[https://www.netacad.com/cisco-packet-tracer Packet Tracer] est un simulateur de matériel réseau de la marque ''Cisco'' (routeurs, commutateurs, contrôleur Wifi...) conçu et distribué par [https://fr.wikipedia.org/wiki/Cisco_Systems Cisco Systems] moyennant vos données personnelles (téléchargeable uniquement avec un compte). Il est utilisé dans les certifications de l'entreprise et est souvent mis en œuvre lors de travaux pratiques dans un contexte d'apprentissage.

=Utilisation sans compte=
Au file des versions, l'outil s'est vu, comme beaucoup de [https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire logiciels propriétaires], adjoindre des limitations dans son utilisation. Sur les versions récentes, il faut notamment un compte ''Cisco'' pour pouvoir enregistrer plus de 3 fois un projet en cours avec un compte "invité" faisant patienter 15 secondes à l'ouverture du logiciel...

Pour le moment ([https://logiciels.ycharbi.fr/Cisco/SOFTWARE/Packet_tracer/8.X/CiscoPacketTracer822_64bit_setup_signed.exe version 8.2.2] au 04/12/2024), il est encore possible d'utiliser le bouton ''Guest'' qui permet de profiter du programme sans compte mais sans garanties sur la pérennité de cette option (j'ai d'ailleurs déjà rencontré un cas où ce mode n'existait pas lors d'une formation ainsi que sur le paquet [https://logiciels.ycharbi.fr/Cisco/SOFTWARE/Packet_tracer/8.X/CiscoPacketTracer822_amd64_signed.deb Linux Debian]...).

Il est heureusement encore facile de contourner (jusqu'à quand ?) ce [https://fr.wikipedia.org/wiki/Gestion_des_droits_num%C3%A9riques DRM] en coupant l'accès à Internet lors de l'ouverture du logiciel. Bien que fonctionnelle, cette façon de procéder est tout de même contraignante car il est tout à fait possible qu'une coupure de réseau ne soit pas envisageable sur le poste de travail (téléchargement en cours par exemple).

==Règle de trafic sortant==
===Pour Windows===
La procédure suivante décrit l'ajout d'une règle de pare-feu pour le trafic sortant sous ''Windows 10'' afin de bloquer spécifiquement l'usage du réseau pour l'exécutable de ''Packet Tracer 8.2.2''.

Ouvrir la console <code>Pare-feu Windows Defender avec fonction avancées de sécurité</code> via le "menu démarrer" (tant qu'il existe encore...) ou exécuter directement <code>wf.msc</code> '''>''' ''Règles de trafic sortant'' '''>''' ''nouvelle règle'' '''>''' ''Programme'' '''>''' ''Suivant'' '''>''' ''Au programme ayant pour chemin d'accès'' '''>''' <code>%ProgramFiles%\Cisco Packet Tracer 8.2.2\bin\PacketTracer.exe</code> '''>''' ''Bloquer la connexion'' '''>''' laisser cocher les 3 règles : ''Domaine'' ; ''Privé'' et ''Public'' '''>''' ''Nom'' : <code>Packet Tracer 8.2.2</code> '''>''' ''Terminer''.

Le programme peut alors être ouvert sans compte ni aucun bridage.

===Pour Linux Debian===
Une méthode similaire à celle préconisée pour [[Appimage#Cloisonnement|Appimage]] peut être utilisée pour parvenir à un contournement du ''DRM'' via le programme de cloisonnement <code>firejail</code>.

<syntaxhighlight lang="bash">
# Installation du paquet
apt install --no-install-recommends firejail

# Exécution de Packet Tracer en environnement cloisonné temporaire
firejail --quiet --noprofile --nonewprivs --net=none --private=$(mktemp -d --suffix=-pkt) --private-dev --caps.drop=all --seccomp /usr/local/bin/packettracer
</syntaxhighlight>

L'environnement de simulation n'aura ni accès au réseau, ni à votre répertoire personnel et sera de plus restreint en permissions (il pourra aller pourrir librement son répertoire temporaire dans le <code>/tmp</code>...).

Cgroup2

2024-12-04T22:16:39Z

Ycharbi : Page créée avec « Category:Pseudo_systèmes_de_fichiers {{chantier}} [https://fr.wikipedia.org/wiki/Cgroups Cgroups] (''control groups'') est une fonctionnalité du [https://fr.wikipedia.org/wiki/Noyau_Linux noyau Linux] pour limiter, compter et isoler l'utilisation des ressources (processeur, mémoire, utilisation disque, RDMA, [https://www.man7.org/linux/man-pages/man7/cgroups.7.html#CGROUPS_VERSION_2 etc]...). Il est issus d'un travail initié par des ingénieurs de [ht... »

[[Category:Pseudo_systèmes_de_fichiers]]

{{chantier}}

[https://fr.wikipedia.org/wiki/Cgroups Cgroups] (''control groups'') est une fonctionnalité du [https://fr.wikipedia.org/wiki/Noyau_Linux noyau Linux] pour limiter, compter et isoler l'utilisation des ressources (processeur, mémoire, utilisation disque, RDMA, [https://www.man7.org/linux/man-pages/man7/cgroups.7.html#CGROUPS_VERSION_2 etc]...).

Il est issus d'un travail initié par des ingénieurs de [https://fr.wikipedia.org/wiki/Google Google] en 2006 et intégré à la version 2.6.24 du noyau. La version 1 étant dépréciée (mais encore présente dans la branche principale de ''Linux''), seule son évolution, ''Cgroups2'', sera traité.

Le principe général de cette technologie présentée comme un [[:Category:Pseudo_systèmes_de_fichiers|pseudo système de fichiers]] monté par défaut dans <code>/sys/fs/cgroup/</code> est, de façon arbitraire, de créer des groupes de processus qui se verront tous appliquer des limitations communes. Il est ainsi possible de mitiger les risques de dénis de services occasionnés par un programme un peu trop gourmand en ressources. Son usage est de fait très plébiscité dans les environnements [[:Category:Conteneurisation|conteneurisés]].

=Limitation des ressources=
''Cgroups2'' permet de limiter les ressources systèmes suivantes :
* '''cpu''' (depuis ''Linux'' 4.15) : limitation de l'usage processeur

* '''cpuset''' (depuis ''Linux'' 5.0) : permet de faire fonctionner les processus sur des nœuds [https://fr.wikipedia.org/wiki/Non_uniform_memory_access NUMA] et des processeurs spécifiques (plateformes matérielles multi socket)

* '''freezer''' (depuis ''Linux'' 5.2) : permet de geler et de reprendre les processus du groupe

* '''hugetlb''' (depuis ''Linux'' 5.6) : limite l'utilisation des grandes pages mémoires ([https://www.kernel.org/doc/html/latest/admin-guide/mm/hugetlbpage.html huge pages])

* '''io''' (depuis ''Linux'' 4.5) : limite l'utilisation des entrées/sorties sur les [[:Category:Périphériques bloc|périphériques de type bloc]] spécifiés dans le groupe

* '''memory''' (depuis ''Linux'' 4.5) : limite l'utilisation de la mémoire (''RAM'') des processus ; du noyau et de la ''SWAP''

* '''perf_event''' (depuis ''Linux'' 4.11) : permet la supervision des performances ([https://www.kernel.org/doc/html/latest/arch/arm64/perf.html perf]) des processus du groupe

* '''pids''' (depuis ''Linux'' 4.5) : limite le nombre de processus (''PID'') pouvant être créés dans le groupe

* '''rdma''' (depuis ''Linux'' 4.11) : permet de limiter l'usage du [https://en.wikipedia.org/wiki/Remote_direct_memory_access RDMA] et de l'[https://fr.wikipedia.org/wiki/Bus_InfiniBand Infiniband] dans le groupe

Leur portage depuis la [https://www.man7.org/linux/man-pages/man7/cgroups.7.html#CGROUPS_VERSION_1 version 1] est progressif. Les nouvelles versions du noyau sont donc susceptibles d'en supporter d'avantage.

Tous les processus nouvellement créés s'ajoutent dans le groupe racine (''cgroup'' par défaut) via la liste <code>/sys/fs/cgroup/cgroup.procs</code> qui ne comporte aucune limitation.
Pour limiter un ou plusieurs processus, il faut alors créer un groupe dédié aux limitations que nous voulons leur appliquer.

{{info|Il est à noter qu'un ''PID'' ne peut appartenir qu'à un seul ''cgroup'' à la fois. Cette notion est importante pour la suite.}}

Un groupe se créé par l'ajout d'un répertoire dans la racine du point de montage :
mkdir /sys/fs/cgroup/toto

Dès la création, son contenu est automatiquement peuplé des fichiers de configuration du groupe. Pour appliquer une limitation à ce dernier, il suffit donc d'inscrire une valeur dans le fichier correspondant à celle-ci.

Pour l'annuler, il suffit de supprimer son répertoire
rmdir /sys/fs/cgroup/toto/

''Note : La suppression d'un cgroup n'est possible que si aucun processus ne lui est affecté.''

==Limitation CPU==
===Attribution manuelle===
Pour limiter l'usage du processeur à 50% d'un cœur, il est possible d'inscrire des limites de temps (en microsecondes) dans le fichier <code>cpu.max</code> :
echo "50000 100000" > /sys/fs/cgroup/toto/cpu.max

Description :
* '''50000''' : limite de temps ''CPU'' en microsecondes que le ''cgroup'' peut utiliser dans une période donnée. Dans cet exemple, cela signifie que le groupe <code>toto</code> peut utiliser jusqu'à 50 000 microsecondes (soit 50 millisecondes) de temps processeur
* '''100000''' : période de temps en microsecondes sur laquelle la limite est appliquée. Dans cet exemple, cela signifie que la période est de 100 000 microsecondes (soit 100 millisecondes).

Donc le ''cgroup'' peut utiliser jusqu'à 50 millisecondes de temps ''CPU'' dans une période de 100 millisecondes. S'il dépasse cette limite, il sera restreint dans son utilisation du processeur jusqu'à la fin de la période. 100% équivaut à la charge d'un cœur, une valeur supérieure en concernera donc plusieurs.

{{info|Pour rappel, la limite est globale au groupe. Tous les ''PID'' en faisant parti consommeront donc au maximum un total de 50% du CPU sur un seul cœur.}}

Le programme utilisé pour tester notre bridage sera <code>stress</code>, un outil de charge processeur disponible dans les dépôts ''Debian''. Nous allons l'utiliser pour charger un cœur à 100% :
stress -c 1

Pour rappel, tout nouveau processus appartient par défaut (nous verrons plus loin commun influencer ce critère) au ''cgroup'' racine, il faut donc récupérer son ''PID'' afin de l'ajouter dans la liste de processus <code>/sys/fs/cgroup/toto/cgroup.procs</code>
<syntaxhighlight lang="bash">
# Récupération du PID (ici 1355)
ps -aux | grep stress

# Ajout du processus au cgroup toto
echo "1355" > /sys/fs/cgroup/toto/cgroup.procs
</syntaxhighlight>

''Note : L'usage du cœur sollicité a été réduit instantanément de moitié.''

Pour retirer le processus du ''cgroup'', il convient de le replacer dans la racine
echo "1355" > /sys/fs/cgroup/cgroup.procs

''Note : Le cœur est reparti à 100%.''

===Attribution à l'exécution===
La méthode exposée déroule un procédé manuel et asynchrone : le processus est d'abord créé dans le ''cgroup'' racine pour être déplacé après coup dans un groupe spécifique. Bien que cela puisse s'avérer utile pour limiter un programme déjà en cours d'exécution, il n'est pas envisageable de réaliser ces opérations manuellement à chaque lancement (d'autant plus que le PID change à chaque occurrence).

La commande <code>cgexec</code> du paquet <code>cgroup-tools</code> permet d'effectuer ces opérations automatiquement au lancement d'un programme (tous les ''PID'' fils sont concernés). Le ''cgroup'' doit toutefois être créé au préalable.
cgexec -g cpu:/toto stress -c 1

===Attribution de service===
[[:Category:Systemd|Systemd]] permet d'exécuter des processus dans un ''cgroup'' via les options [https://www.freedesktop.org/software/systemd/man/latest/systemd.resource-control.html#Options systemd.resource-control] des unités <code>slice.slice</code>, <code>scope.scope</code>, <code>service.service</code>, <code>socket.socket</code>, <code>mount.mount</code> et <code>swap.swap</code>.

À faire...

===Persistance===
Comme tout pseudo système de fichier, ''cgroup2'' est volatile et ne survivra pas à un redémarrage. Une persistance peut être configurée via les fichiers (non existants par défaut) <code>/etc/cgconfig.conf</code> et <code>/etc/cgconfig.conf.d/*.conf</code> du paquet <code>cgroup-tools</code>.

Comme il est bientôt minuit et que comme à l'accoutumé, les outils simples en lignes commandes, ont des fichiers de configurations de l'espace (pourquoi ne reprennent-ils pas simplement les commandes qui fonctionnent comme <code>iptables-persistent</code> ?), je ne vais pas me coucher à 5 heure du matin juste pour tenter de convertir 3 pauvres lignes de commande en une série de galères longues comme le bras et complexe comme le cerveau torturé des développeurs de ce merdier. Cherchez par vous même et je documenterai peut-être ça un jour...

=Sources=
* https://www.man7.org/linux/man-pages/man7/cgroups.7.html#CGROUPS_VERSION_2
* https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v2.html
* https://wiki.archlinux.org/title/Cgroups

Packet tracer

2024-12-04T18:16:03Z

Ycharbi : Page créée avec « Category:Cisco [https://www.netacad.com/cisco-packet-tracer Packet Tracer] est un simulateur de matériel réseau de la marque ''Cisco'' (routeurs, commutateurs, contrôleur Wifi...) conçu et distribué par [https://fr.wikipedia.org/wiki/Cisco_Systems Cisco Systems] moyennant vos données personnelles (téléchargeable uniquement avec un compte). Il est utilisé dans les certifications de l'entreprise et est souvent mis en œuvre lors de travaux pratiques d... »

[[Category:Cisco]]

[https://www.netacad.com/cisco-packet-tracer Packet Tracer] est un simulateur de matériel réseau de la marque ''Cisco'' (routeurs, commutateurs, contrôleur Wifi...) conçu et distribué par [https://fr.wikipedia.org/wiki/Cisco_Systems Cisco Systems] moyennant vos données personnelles (téléchargeable uniquement avec un compte). Il est utilisé dans les certifications de l'entreprise et est souvent mis en œuvre lors de travaux pratiques dans un contexte d'apprentissage.

=Utilisation sans compte=
Au file des versions, l'outil s'est vu, comme beaucoup de [https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire logiciels propriétaires], adjoindre des limitations dans son utilisation. Sur les versions récentes, il faut notamment un compte ''Cisco'' pour pouvoir enregistrer plus de 3 fois un projet en cours avec un compte "invité" faisant patienter 15 secondes à l'ouverture du logiciel...

Pour le moment ([https://logiciels.ycharbi.fr/Cisco/SOFTWARE/Packet_tracer/CiscoPacketTracer822_64bit_setup_signed.exe version 8.2.2] au 04/12/2024), il est encore possible d'utiliser le bouton ''Guest'' qui permet de profiter du programme sans compte mais sans garanties sur la pérennité de cette option (j'ai d'ailleurs déjà rencontré un cas où ce mode n'existait pas lors d'une formation...).

Il est heureusement encore facile de contourner (jusqu'à quand ?) ce [https://fr.wikipedia.org/wiki/Gestion_des_droits_num%C3%A9riques DRM] en coupant l'accès à Internet lors de l'ouverture du logiciel. Bien que fonctionnelle, cette façon de procéder est tout de même contraignante car il est tout à fait possible qu'une coupure de réseau ne soit pas envisageable sur le poste de travail (téléchargement en cours par exemple).

==Règle de trafic sortant==
La procédure suivante décrit l'ajout d'une règle de pare-feu pour le trafic sortant sous ''Windows 10'' afin de bloquer spécifiquement l'usage du réseau pour l'exécutable de ''Packet Tracer 8.2.2''.

Ouvrir la console <code>Pare-feu Windows Defender avec fonction avancées de sécurité</code> via le "menu démarrer" (tant qu'il existe encore...) ou exécuter directement <code>wf.msc</code> '''>''' ''Règles de trafic sortant'' '''>''' ''nouvelle règle'' '''>''' ''Programme'' '''>''' ''Suivant'' '''>''' ''Au programme ayant pour chemin d'accès'' '''>''' <code>%ProgramFiles%\Cisco Packet Tracer 8.2.2\bin\PacketTracer.exe</code> '''>''' ''Bloquer la connexion'' '''>''' laisser cocher les 3 règles : ''Domaine'' ; ''Privé'' et ''Public'' '''>''' ''Nom'' : <code>Packet Tracer 8.2.2</code> '''>''' ''Terminer''.

Le programme peut alors être ouvert sans compte ni aucun bridage.

Gns3

2024-10-12T13:56:33Z

Ycharbi : /* Utilisation des Ios On Unix (IOU) */ Ajout d'un script de génération de clés de licence pour Python3

[[Category:réseaux_linux]]
[https://github.com/GNS3/gns3-gui GNS3] est un logiciel de simulation réseau. il peut simuler des matériels de l'équipementier ''Cisco'' en exploitant de vrais ''IOS'' ; exploiter ''qemu'' au travers du cadriciel ''libvirt'' pour émuler des équipements ; utiliser ''Docker'' ; intégrer des ''IOS'' tournant directement sous ''Linux'' afin d'ajouter des commutateurs de niveau 3 et plus encore. Nous nous trouvons donc avec des équipements virtuels qui réagissent comme des équipement physiques et qui, après avoir été reliés au monde réel par l'intermédiaire d'un pont sur la carte réseau de l'hôte, peuvent communiquer avec leurs pairs physiques de la même manière que de vrai équipements.

{{info|Testé avec la version 2.0 sortie le 02/05/2017}}

=Téléchargement=
Partie obsolète. Passez par [https://github.com/GNS3/gns3-gui GitHub].
''GNS3'' fait partie de ces logiciels casses couilles qui nécessitent un compte pour être téléchargé. Comme je ne supporte pas cette pratique (d'autant plus que ça se dit "logiciel libre" - pas très libre comme façon de faire), j'ai donc recensé les liens ''SourceForge'' du projet (c'est surtout utile si vous voulez le compiler vous-même ou si vous utilisez Mac OS X ou Windows). Pour les distributions Linux, vous trouverez la plupart du temps un binaire dans les dépôts.

* '''Linux :''' https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28/2.2/GNS3-2.2.0dev1.source.zip/download
* '''Mac :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3.dmg/download
* '''Windows :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3-all-in-one.exe/download
Dépôt du projet :
* https://sourceforge.net/projects/gns-3/files
* https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28

=Installation=
{{info|Mise à jour du 23/08/2024 : depuis ''Debian 12'', '''seule''' la [[#Méthode_python3_PIP|méthode Python3 PIP]] est supporté via le paramètre d'installation <code>--break-system-packages</code>. La section dédiée a été actualisée en conséquence. Veuillez noter également que l'installation ne fonctionne plus sur ''Debian Sid'' à cette même date. La procédure va donc logiquement probablement changer pour la version 13... Un ticket sur la confection d'un paquet portable est ouvert sur le dépôt [https://github.com/GNS3/gns3-gui/issues/2911 GitHub] du projet sans grande avancée à ce stade. Cela pourrait régler le problème épineux de l'installation et des mises à jours de cet outil à terme.}}

Le paquet ''telnet'' sera également utile pour la connexion aux équipements virtuels
apt install telnet

==Méthode python3 PIP==
GNS3 est installable depuis le gestionnaire de paquet de ''Python3''. Cette méthode est la seule fonctionnelle sous ''Debian 12'' en 2024 :
apt install python3-pip
apt install python3-pyqt5.qtsvg python3-pyqt5.qtwebsockets

pip3 install --break-system-packages -U gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/ubridge -P /usr/bin/
chmod 777 /usr/bin/ubridge

''Note : le binaire de ubridge est celui des dépôts Debian Sid au 17/02/2019.''

{{info|Depuis la version 2.2.5 sortie le 9 janvier 2020, la suite est automatique. Vous pouvez vous arrêter là pour la méthode ''python3 PIP''.}}

Télécharger l'icône de l'application :
<syntaxhighlight lang="bash">
wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/images/gns3.png -P /usr/share/icons/hicolor/48x48/apps/
</syntaxhighlight>

Et créer le lanceur :
vim /usr/share/applications/gns3.desktop

<syntaxhighlight lang="ini">
[Desktop Entry]
Version=1.0
Type=Application
Terminal=false
Exec=gns3 %f
Name=GNS3
Comment=GNS3 Graphical Network Simulator
Icon=/usr/share/icons/hicolor/48x48/apps/gns3.png
Categories=Education;Network;
MimeType=application/x-gns3;application/x-gns3a;application/x-gns3project;
Keywords=simulator;network;netsim;
</syntaxhighlight>

Pour mettre à jour :
pip3 install --break-system-packages -U sip gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

{{info|Si une des dépendances pose problème (c'était le cas pour ''pyqt5'' en version 5.14.1 vers fin 2019 - début 2020), il est possible d'en installer une version spécifique en la précisant ainsi : <code>pyqt5{{=}}{{=}}5.14.0</code>. Le paquet a depuis changé de casse dans son nom comme vous pouvez le constater dans la ligne ce-dessus... Cet écosystème est insupportable. Il faut faire une veille constante, ce qui rend chaque mises à jours risquées et le maintient d'une documentation fonctionnelle impossible.}}

==Méthode APT==
Méthode obsolète. Utilisez la [[#Méthode_python3_PIP|méthode Python3 PIP]].

La version de ''GNS3'' disponible dans les dépôts ''Debian'' est affligeante, il s'agit d'une très ancienne version (elle ne permet même pas de supprimer les câbles que l'on connectes aux équipements...), nous allons donc ajouter le dépôt du projet pour être à jour.

Depuis une installation via ''debootstrap'', le paquet <code>dirmngr</code> est absent et est nécessaire à l'importation des clés ''GPG''. Il faut l'installer
apt install dirmngr

{{info|Sous Debian Stretch, la dépendance ''libvirt-bin'' ne peut être satisfaite car il s'agit d'un paquet de transition qui s'est vu découpé en deux paquets nommés ''libvirt-daemon-system'' et ''libvirt-clients'' (voir [https://lists.debian.org/debian-user/2016/11/msg00518.html ici]). Le problème c'est que sans un paquet qui s'appel ''libvirt-bin'', GNS3 est impossible à installer (et c'est pas faute d'avoir essayé, merci le gestionnaire de paquet ''apt'' qui sait se comporter comme une grosse merde quand il le faut). J'ai donc mis au point deux solution pour palier au problème. L'une exploite ''apt'' et une bidouille avec son ''sources.list'', l'autre utilise directement ''dpkg'' pour contourner le problème. Je conseil vivement d'utiliser la solution ''apt''.}}

Comme nous l'avons vu, le paquet ''libvirt-bin'' n'est pas disponible dans les dépôts ''Stretch'' suite à un changement programmé de stratégies de ses mainteneurs. Cependant il est présent dans ceux de Debian Jessie puisque il en été au stade de transition à ce moment là. ''Jessie'' n'étant pas très différent de ''Stretch'', il n'y a pas de risques de stabilité en confondant ce paquet avec les autres. Nous allons donc combiner les dépôts de ''Jessie'' avec ceux de ''Stretch'' pour avoir ce qu'il nous faut. Pas de panique, ''apt'' n'étant pas si mal fait, il prendra toujours les paquets avec un numéros de version plus récent. Ce qui garanti que Seul les paquets absents de ''Stretch'' seront piochés dans ''Jessie''.

Ajouter les dépôts de ''GNS3'' et ''Debian Jessie'' dans ''Stretch''
echo -e '#GNS3\ndeb http://ppa.launchpad.net/gns3/ppa/ubuntu xenial main\n#Debian jessie (pour avoir le paquet libvirt-bin)\ndeb http://ftp.fr.debian.org/debian jessie main' >> /etc/apt/sources.list

{{attention|Avec ''Debian sid/buster'', il faut remplacer la branche '''xenial''' du dépôt '''http://ppa.launchpad.net/gns3/ppa/ubuntu''' par '''bionic'''.}}

Ajout de la clé ''GPG'' des dépôts ''GNS3''
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys F88F6D313016330404F710FC9A2FD067A2E3EF7B

Mise à jour de la base ''apt''
apt update

Installation de ''GNS3''
apt install gns3-gui

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Méthode DPKG==
Cette méthode a été testé avec ''GNS3 1.5.3''. Elle est fonctionnelle mais en plus de sa lourdeur, elle ne permet pas une monté en version simple. Elle reste toutefois plus abordable que la compilation depuis les sources et a été documenté car je me suis bien fait chier pour la pondre quand j'en avais besoin.

Installation des dépendances de ''gns3-gui'' (j'ai enlevé ''gns3-server'' qui réclame ''libvirt-bin'' qui n'existe pas)
apt install python3 python3-pyqt5 python3-pyqt5.qtsvg wireshark vinagre libc6 libexpat1 zlib1g

Installation des dépendances de ''gns3-server'' (j'ai enlevé ''libvirt-bin'' qui n'existe pas)
apt install python3 vpcs qemu-system-x86 qemu-system-arm qemu-kvm cpulimit x11vnc xvfb libc6 libexpat1 zlib1g

Téléchargement des dépendances non disponibles dans les dépôts ''Debian''
wget http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/d/dynamips/dynamips_0.2.16-1~xenial1_amd64.deb http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/u/ubridge/ubridge_0.9.11-1~yakkety_amd64.deb

Installation manuelle des dépendances non disponibles dans les dépôts Debian (dépôt ''GNS3'') pour ''gns3-server''
dpkg -i dynamips_0.2.16-1~xenial1_amd64.deb ubridge_0.9.11-1~xenial_amd64.deb

Installation de ''gns3-server'' sans ''libvirt-bin''
dpkg -i --ignore-depends=libvirt-bin gns3-server_1.5.4~xenial1_amd64.deb

Installation de ''gns3-gui''
dpkg -i gns3-gui_1.5.3~xenial5_amd64.deb

À ce stade nous avons ''GNS3'' d'installé. Ne criez pas victoire trop vite car ''libvirt-bin'', bien que nous ayant bien fiat chier reste un élément indispensable pour émuler les équipements. Il va donc falloir l'installer si on veut bénéficier de l’intérêt de ce logiciel. Pour se faire, soit vous optez pour l'installation des dépendances de ''libvirt-bin'' ainsi que lui même à la main, soit vous le récupérez depuis les dépôts ''Jessie'' comme avec la méthode ''apt''.

{{astuce|Les dépendances des ''.deb'' se trouvent avec la commande <code>dpkg-deb --info nom.deb</code>. Lorsque ''apt'' ne veut plus rien savoir et qu'il casse les couille on nettoie tout avec la commande <code>apt --fix-broken install</code>.}}

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Ajout d'un IOS Cisco==
Les ''IOS Cisco'' sont disponibles dans [https://{{SERVERNAME}}/fichiers/réseaux/cisco/ios/ nos fichiers]. Il sont à ajouter dans les modèles de routeur (vous trouverez, ce n'est pas très compliqué).

=Lien avec le monde physique=
Faire son réseau virtuel est intéressant mais pouvoir exploiter ses atouts avec de vrais équipements, c'est encore mieux. Ainsi ont peut considérer sont PC hôte comme une baie avec plein d'équipement que l'on relie au réseau externe. Les possibilités sont infinies...

Pour se faire, il faut créer une interface de lien local ''tap'' et lui assigner une adresse ''IP''. On ajoutera ensuite un "cloud" dans ''GNS3'' (équipement avec l'icône de nuage) et on le configurera pour ajouter cette interface dans l'onglet ''NIO TAP''. Il faut rentrer le nom de l'interface dans le champ prévu à cet effet : ''tap0''.

{{info|Avec ''GNS3 2.0'', l'étape avec l'onglet n'est plus nécessaire car le nuage ajoute automatiquement les interfaces qu'il trouve sur l'hôte.}}

==Installation==
===Nouvelle méthode===
De nos jours, tout peut se faire via la commande <code>ip</code> du paquet <code>iproute2</code> comme expliqué [https://www.baturin.org/docs/iproute2/ ici].
ip tuntap add dev tap0 mode tap user toto
ip address add 10.200.200.1/30 dev tap0
ip link set tap0 up

===Ancienne méthode===
Installation des dépendances
apt install uml-utilities

Création de l'interface ''tap0'' et attribution d'une adresse ''IP''
tunctl -t tap0
ip a a 10.200.200.1/30 dev tap0
# ou via ifconfig du paquet net-tools
# ifconfig tap0 10.200.200.1 netmask 255.255.255.252

==Problèmes==
Cette étape aussi simple qu'il puisse y paraître peut générer des erreurs bloquantes. Un message disant quand le chemin de ''ubridge'' n'est pas valide ou qu'il n'est pas installé peut survenir. C'est un problème de permission (Tapez <code>ub+<tab></code> dans un terminal connecté avec l'utilisateur qui doit exécuter ''GNS3'', si ''Bash'' n'auto-complète pas en ''ubridge'', c'est que <code>/usr/bin/ubridge</code> n'a pas les bons droits. Sinon c'est que c'est un problème inconnu (ce qui ne serait pas surprenant vu comment c'est une galère à installer).

Pour régler ça. Faire ceci :
chown yohan:ubridge /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

Ce problème peut également survenir après une mise à jour de ''GNS3''.

=Utilisation des Ios On Unix (IOU)=
''IOS on UNIX'' est un ''IOS'' qui tourne comme un programme sur une distribution ''Linux'' (ça aurai donc dû s'appeler ''IOL'', on est d'accord...). L’intérêt de cette solution est quelle permet de s'affranchir de la principale lacune de ''GNS3'' : l'impossibilité d'utiliser des commutateurs. Les ''IOU'' permettent également d'utiliser un grand nombre de fonctions réservées au haut de gamme des chez ''Cisco''. Sous ''Windows'', ''GNS3'' utilise [[qemu]] pour émuler une distribution ''Linux'' afin de faire tourner ''IOU'', ce qui en diminue très grandement l'intérêt (en même temps qu'elle idée d'utiliser ''Windows''...).

Autre chose : Je n'ai pas réussi à déterminer si l'utilisation des ''IOU'' représentait une violation de licence car comme à son habitude, ''Cisco'' pratique l’obscurantisme sur les détails et personne ne semble se soucier de ce sujet...

Les ''IOU'' sont des programmes 32 bits (sans commentaires...), on est donc obligé d'ajouter une dépendance ''i386'' dans notre chère distribution ''amd64''.
dpkg --add-architecture i386

apt update

''Attention si vous utilisez ma documentation sur [[apt-mirror]] et que des erreurs 404 s'affichent dû au fait que vous n'avez pas l'ensemble des dépôts ''i386'' en local (même si c'est des dépôts qui n'ont rien avoir avec la choucroute), je vous recommande de changer de serveur ''DNS'' dans <code>/etc/resolv.conf</code> le temps de l'installation sinon vous allez tourner en rond avec des erreurs de dépendance APT bien casse couille (c'est du vécu) sans comprendre la raison de toute cette merde.''
apt install libssl1.1:i386

Il faut désormais créer un lien symbolique pour que ce balo d{{'}}''IOU'' la trouve (bah oui, c'est trop compliqué de pointer sur la bonne librairie hein, on va laisser l'utilisateur faire le travail à la place des dev de ''Cisco'' tien)
ln -s /usr/lib/i386-linux-gnu/libcrypto.so.1.1 /usr/lib/libcrypto.so.4

Pour que ''IOU'' fonctionne, il faut une licence, que l'on va devoir générer. Mais avant toute chose il faut faire pointer notre interface de lien local sur notre nom d'hôte ainsi qu'un nom de domaine de chez ''Cisco'' (probablement un mécanisme de vérification de licence). Dans mon exemple, mon nom d'hôte est ''debian'', adaptez à votre cas.
echo "debian" > /etc/hostname
hostname debian
echo -e "127.0.0.1 debian\n127.0.0.1 xml.cisco.com" >> /etc/hosts

{{attention|La suite de cette procédure doit être exécuté en utilisateur standard.}}

Téléchargez le script de génération de licence pour ''Python2'' (obsolète) :
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/CiscoKeyGen.py

Pour [https://timigate.com/2021/10/cisco-iou-l2-keygen-license-for-gns3.html Python3] ([http://www.ipvanquish.com/download/CiscoIOUKeygen3f.py actuel]) :
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/CiscoIOUKeygen3f.py

Générez la licence
python2 CiscoKeyGen.py || python3 CiscoIOUKeygen3f.py

Copiez la section suivante dans <code>~/.iourc</code> (celle du script hein, pas la mienne, sinon ça va pas marcher gros bêta)
[license]
debian = b0acc48944f31bd4;

Créez le répertoire d'accueil des ''IOU''
mkdir -p ~/GNS3/images/IOU/

Téléchargez des ''IOU'' (avec la commande suivante ou [https://{{SERVERNAME}}/fichiers/r%c3%a9seaux/cisco/iou/ ici])
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l2-adventerprisek9-15.1a.bin https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l3-adventerprisek9-15.2.4M1.bin -P ~/GNS3/images/IOU/

Les ''IOU'' étant des programmes, il faut leur donner les droits d'exécution
chmod +x ~/GNS3/images/IOU/*.bin

La suite ce passe sous ''GNS3'' :
# Ajouter la licence dans GNS3 <code>Edit > Préférences > IOS on UNIX > Edit | Aller chercher ~/.iourc > Apply</code>
# Ensuite, ajouter un modèle IOU dans GNS3 <code>Edit > Préférences > IOS on UNIX > IOU Device > New</code>
# Profitez d'un truck qui déchire pour vos archis !

==Sources de la section==
* '''Principale :''' Principale : https://nlabweb.wordpress.com/2016/04/06/running-cisco-switches-on-gns3/#more-147
* '''Problème de libcrypto.so.4 :''' https://www.youtube.com/watch?v=chcHuF3nEoQ
* '''CiscoKeyGen :''' https://gist.github.com/paalfe/8edd82f780c650ae2b4a/archive/bd7b6b8a81c338359e6de4ff0ed0def9f7dc9146.zip
* '''Images IOU :''' https://drive.google.com/file/d/0B8tSmsEbVQs-bjVXY3VqMFJrc1E/view

==À creuser==
Se passer de ''GNS3'' pour les ''IOU'' : https://myhowtosandprojects.blogspot.fr/2013/08/installing-and-running-iou-checking_10.html

=Utilisation de Docker=
[[Docker]] est une solution de conteneurisation. Il permettra de créer des serveurs et des postes clients virtuelles ainsi que faire des analyses réseaux au sein de l'infra virtuelle. Docker n'est malheureusement pas dans les dépôts Debian. Il faut donc ajouter le dépôt officiel à la main.

==Installation==
Pour l'installation de ''Docker'', ce référer à la page suivante : [[Docker#Installation|Installation de Docker]].

==Configuration==
Ajout de l'utilisateur se servant de ''GNS3'' au groupe <code>docker</code> (sinon l'application ne pourra pas se connecter au démon ''docker'' pour interagir avec les conteneurs)
usermod -aG docker <VOTRE_UTILISATEUR_DE_GNS3>

Je n'ai pas trouver comment appliquer ces changements autrement qu'en redémarrant, navré
reboot

Téléchargement d'un conteneur ''Kalilinux'' (en ''root'')
docker pull gns3/kalilinux

{{astuce|Il y a un bon nombre de conteneurs téléchargeables dans le [https://hub.docker.com/r/gns3/ dépôt Docker du projet GNS3]. Je vous conseils d'aller y faire un tour.}}

Il faut maintenant ajouter le conteneur à ''GNS3'' en tant que modèle. Pour se faire il faut aller dans les paramètres, dans la section dédié à ''Docker'' et faire du clickodrôme jusqu'à l'ajout de notre conteneur (le 3ème lien des sources montre la procédure officielle si vraiment vous êtes en galère).

==Problèmes==
Tout comme ''ubridge'', ''Docker'' peut ne pas fonctionner pour cause de permission. Si la commande <code>docker ps</code> renvoi une erreur de permission en tant que utilisateur utilisant ''GNS3'', c'est qu'il n'appartient pas au groupe <code>docker</code>.

J'ai également eu l'erreur <code>Docker has returned an error: 304 b</code> avec ''GNS3 1.5.3''. Je n'ai pas eu le temps de résoudre cette erreur qui a été corrigé avec la mise à jour 2.0 de ''GNS3'' et je n'ai pas de piste de résolution (ça semble être le problème de merde bien chiant à régler avec aucune aide sur Internet). Dieu vous garde si vous la rencontrez...

==Sources==
* https://store.docker.com/editions/community/docker-ce-server-debian?tab=description
* http://stackoverflow.com/questions/21871479/docker-cant-connect-to-docker-daemon
* https://docs.gns3.com/1KGkv1Vm5EgeDusk1qS1svacpuQ1ZUQSVK3XqJ01WKGc/index.html
* https://hub.docker.com/r/gns3/kalilinux/

=Sources=
* http://docs.gns3.com/1QXVIihk7dsOL7Xr7Bmz4zRzTsJ02wklfImGuHwTlaA4/

Installation msix - windows

2024-09-25T18:25:05Z

Ycharbi : Page créée avec « Category:windows Il peut arriver que certaines personnes/entités n'ayant aucun sens de respect et d'hygiène numérique vous imposes un jour (par de la [https://www.youtube.com/watch?v=WWbdJBoPthU coercition douce]) d'installer une application en provenance du [https://www.microsoft.com/fr-WF/store/ Windows Store]. Dans ce type de cas, comme vous n'êtes pas suicidaire, vous aurez pris soin d'utiliser un PC dédié avec un [https://learn.microsoft.com/en-us... »

[[Category:windows]]

Il peut arriver que certaines personnes/entités n'ayant aucun sens de respect et d'hygiène numérique vous imposes un jour (par de la [https://www.youtube.com/watch?v=WWbdJBoPthU coercition douce]) d'installer une application en provenance du [https://www.microsoft.com/fr-WF/store/ Windows Store]. Dans ce type de cas, comme vous n'êtes pas suicidaire, vous aurez pris soin d'utiliser un PC dédié avec un [https://learn.microsoft.com/en-us/windows/whats-new/ltsc/overview Windows LTSC] installé spécifiquement pour l'usage. Seulement voilà, reste l'épineux problème du compte ''Microsoft'' pour pouvoir installer ladite application depuis le magasin dédié.

Premièrement, le ''Windows Store'' n'est fort heureusement pas présent sur la branche ''LTSC'' (c'est en partie pour cela qu'on l'utilise d'ailleurs), deuxièmement, avoir un compte ''Microsoft'' et le lié à ''Windows'' est complètement inconscient au vu de la masse d'informations de télémétrie que cette opération active (faites un [[Wireshark]] si vous souhaitez vous faire peur).

Pour contourner cela, nous allons passer par ''Powershell'' afin d'installer le logiciel empaqueté dans ce qui est appelé un ''MSIXBundle'' via une extension <code>.msix</code>. La difficulté sera probablement de vous procurer ce paquet. Dans mon exemple, le logiciel d’[https://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations_d'Edward_Snowden espionnage industriel] ''Microsoft Teams'' sera utilisé et est récupérable via une [https://learn.microsoft.com/en-us/microsoftteams/new-teams-bulk-install-client#option-1b-download-and-install-new-teams-using-an-offline-installer page Microsoft] non mise en avant (la page trouvable facilement demande un [https://www.microsoft.com/fr-fr/microsoft-teams/compare-microsoft-teams-home-options compte Microsoft] bien évidemment...).

Une fois récupéré, le fichier peut être installé par simple commande via une invite ''Powershell'' en administrateur :
Add-AppxPackage -Path C:\Users\toto\Downloads\MSTeams-x64.msix

Les informations du paquet installé se récupèrent ainsi :
Get-AppxPackage -Name "MSTeams"

Pour le désinstaller :
Get-AppxPackage -AllUsers | Where-Object { $_.Name -like "*MSTeams*" } | Remove-AppxPackage

Enfin, n'oubliez pas que tout ce que vous dites via cet outil passe par les serveurs de ''Microsoft'', dites-en donc le moins possible et restez vague...

=Sources=
* https://www.thewindowsclub.com/how-to-install-msixbundle-using-powershell
* Manuel officiel :
** https://learn.microsoft.com/en-us/powershell/module/appx/add-appxpackage?view=windowsserver2022-ps
** https://learn.microsoft.com/en-us/powershell/module/appx/get-appxpackage?view=windowsserver2022-ps
** https://learn.microsoft.com/en-us/powershell/module/appx/remove-appxpackage?view=windowsserver2022-ps

Busybox

2024-09-07T19:11:30Z

Ycharbi : /* Socket réseau en utilisateur standard */ Correction d'un résidu d'ancienne balise de syntaxe qui causait un problème d'affichage avec le modèle "Astuce"

[[Category:linux]]
[https://fr.wikipedia.org/wiki/BusyBox Busybox] est un exécutable regroupant une multitude d'utilitaires généralement disponibles via [https://fr.wikipedia.org/wiki/GNU_Core_Utilities GNU Core Utilities]. Il a l'avantage de ne prendre que très peu de place et peut être utilisé pour faire des [[Busybox_init|systèmes embarqués très simples]].

=Installation=
==Via le gestionnaire de paquet==
apt install busybox

==Via les sources==
Le paquet <code lang="bash" inline>build-essential</code> est nécessaire pour utiliser la commande <code lang="bash" inline>make</code>.
wget https://busybox.net/downloads/busybox-1.36.1.tar.bz2
tar xf busybox-1.36.1.tar.bz2
cd busybox-1.36.1/
make defconfig
make

Note : le code source est également disponible dans [https://{{SERVERNAME}}/fichiers/système/applications/busybox/busybox-1.36.1.tar.bz2 nos fichiers].

{{astuce|Il est possible d'embarquer les dépendances nécessaires au fonctionnement de l'ensemble directement dans le binaire via la commande de compilation <syntaxhighlight lang="bash" inline>make LDFLAGS="--static"</syntaxhighlight> (ce dernier sera par conséquent plus lourd). Ceci est utile lorsque ''Busybox'' est intégré à un système dépourvu des bibliothèques en question.}}

Un exécutable ''busybox'' a été créé dans le répertoire courant.

La commande <code lang="bash" inline>make defconfig</code> permet de créer le fichier de configuration pour <code lang="bash" inline>make</code> (''.config''). Les commandes de pré-configurations possibles sont :
* '''make defconfig''' : Créé la configuration la plus saine possible. Ça active la plupart des fonctionnalités sans quelques outils de débogage ainsi que les outils nécessitants des modifications du système comme les noms de périphériques ''selinux'' ou ''devfs''. Utiliser cette option si vous voulez démarrer depuis un ''Busybox'' complet pour, par la suite, écrémer les fonctionnalités pour en avoir un plus petit.
* '''make allnoconfig''' : Désactive tout. Cela crée une petite version de ''Busybox'' qui ne fait rien. Commencez ici si vous savez exactement ce que vous voulez et que vous souhaitez sélectionner uniquement ces fonctionnalités.
* '''make menuconfig''' : Modifie interactivement le fichier ''.config'' via une interface de menu à plusieurs niveaux. Utilisez-le après l'un des deux précédents.
Les autres options sont :
* '''make oldconfig''' : Mettre à jour un vieux fichier ''.config'' pour une nouvelle version de ''Busybox''.
* '''make allyesconfig''' : Sélectionnez absolument tout. Cela crée une version statiquement liée de ''Busybox'' remplie de code de débogage, avec des dépendances sur ''selinux'', en utilisant des noms de ''devfs''... Cela s'assure que tout est compilé. Que le résultat fasse quelque chose d'utile ou non est une question ouverte.
* '''make randconfig''' : Créer une configuration aléatoire à des fins de tests.

=Socket réseau en utilisateur standard=
Par défaut, un système ''Linux'' n'autorise la création et la gestion d'un socket réseau que par l'utilisateur ''root''. Il peut être pratique de permettre certains exécutables à le faire via un utilisateur standard (c'est chiant d'avoir à taper le mot de passe ''root'' tout le temps). Pour ce faire, nous utiliserons les [[Linux capabilities]].

'''Autorisation de redirection réseau'''
setcap CAP_NET_BIND_SERVICE=+eip /bin/busybox

{{Astuce|On peut voir cette autorisation avec la commande <code>getcap /bin/busybox</code>.}}

Les utilisateurs standards peuvent désormais utiliser le serveur ''HTTP'' ou autres intégré à ''Busybox''.

==Source de la section==
* https://superuser.com/questions/710253/allow-non-root-process-to-bind-to-port-80-and-443/892391

=Usage=
Nous allons partir du principe que l'emplacement de notre binaire ''busybox'' se trouve dans notre variable d'environnement <code lang="bash" inline>$PATH</code>.

'''Lister les programmes disponibles dans notre Busybox'''
busybox

'''Afficher le manuel des outils contenus dans Busybox'''
man busybox

''Avec un <code lang="bash" inline>/</code> suivi du nom de la commande + <code lang="bash" inline>entrer</code> + <code lang="bash" inline>n</code> on tombe directement sur le manuel de l'outil désiré.''

==Serveur WEB==
'''Utiliser le serveur WEB intégré'''
busybox httpd -f -v -h /tmp/foo/

''Le serveur httpd ne liste pas les fichiers, il faut entrer une URL complète comme pour le TFTP. Cependant, il redirige automatiquement sur un index.html si présent.''

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur web avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les IP des clients se connectant et le message renvoyé par le serveur
* '''-h''' : Spécifie le répertoire de travail du serveur. Si ce paramètre n'est pas renseigné, le répertoire courant est utilisé

==Serveur DHCP==
'''Créer le fichiers du processus'''
touch /tmp/udhcpd.pid

'''Créer le fichier contenant les baux DHCP'''
touch /tmp/udhcpd.leases

'''Créer un fichier de configuration'''
<syntaxhighlight lang="python">
cat > /tmp/udhcpd.conf << _EOF_
# Plage d'adresse attribuable
start 192.168.0.1 # Par défaut: 192.168.0.20
end 192.168.0.253 # Par défaut: 192.168.0.254

# Interface réseau d'écoute
interface eth1 # Par défaut: eth0

# Nombre maximum de baux
max_leases 253 # Par défaut: 254

# Stocker le temps restant pour chaque bail dans le fichier des baux
# C'est utile sur les systèmes embarqués ne pouvant garder l'heure après un redémarrage
# Si cette valeur est définie à "no", l'heure de fin de bail sera stocker dans le fichier
# des baux au lieu du temps restant avant expiration

#remaining yes # Par défaut: yes

# Localisation du fichier des baux
lease_file /tmp/udhcpd.leases

# Localisation du fichier processus
pidfile /tmp/udhcpd.pid # Par défaut: /var/run/udhcpd.pid

# Les options suivantes sont pour le PXE
#siaddr 192.168.0.22 # Par défaut: 0.0.0.0
#sname zorak # Par défaut: (none)
#boot_file /var/nfs_root # Par défaut: (none)

# Options DHCP
# Elles peuvent être spécifiées via le mot clé "option" ou "opt" qui est un alias.
# La seule options définie par défaut est "lease" pour définir la durée des baux
opt dns 192.168.170.171 80.67.169.12
option subnet 255.255.255.0
opt router 192.168.0.254
#opt wins 192.168.10.10 # Ajoute un serveur WINS
#option dns 129.219.13.81 # Ajoute un autre DNS aux 2 autres ci-dessus
option domain local
option lease 864000 # 10 jours en secondes
_EOF_
</syntaxhighlight>

Vous pouvez adapter les adresses et nom d'interface avec les commande suivante en remplaçant ''toto'' par la donnée appropriée:
sed -i 's/192\.168\.0\./192\.168\.toto./g' /tmp/udhcpd.conf
sed -i 's/eth1/toto/g' /tmp/udhcpd.conf

Paramètres possibles :
{| class="wikitable"
|-
! Paramètre !! Effet !! Valeur par défaut
|-
| Paramètre 1 || Il fait ça || yes
|}

Liste exhaustive des options supportés. Voir le fichier source ''options.c'' :
{| class="wikitable"
|-
! Option !! Effet
|-
| toto || titi
|}

'''Exécuter le serveur DHCP'''
busybox udhcpd -fv /tmp/udhcpd.conf

Paramètres :
* '''-f''' : Ne rend pas la main. Ça permet de fermer le serveur DHCP avec un <code lang="bash" inline>ctrl+c</code> au lieu de ce faire chier avec les commandes <code lang="bash" inline>ps</code> et <code lang="bash" inline>kill</code>
* '''-v''' : affiche les requêtes ''ACK'' et ''OFFER'' entre le serveur et les clients (on voit l'IP attribué de ce fait)

'''Sources de la section'''
* Page officielle de udhcpd: https://udhcp.busybox.net/
* Fichier de configuration exemple: https://udhcp.busybox.net/udhcpd.conf

==NTP==
===Serveur NTP===
Définir l'horloge système depuis une source réseau
busybox ntpd -d -n -I eth0 -l -p 0.debian.pool.ntp.org

Paramètres :
* '''-d''' : mode verbeux
* '''-n''' : ne pas démoniser (ne pas exécuter en arrière plan)
* '''-I''' : écouter sur l'interface spécifiée pour les requêtes clientes
* '''-l''' : ouvre le socket ''UDP'' sur le port 123 pour les requêtes clientes
* '''-p''' : serveur de référence sur lequel se synchronise notre serveur

==TFTP==
===Client TFTP===
Télécharger un fichier via ''TFTP''
busybox tftp -r toto.txt 192.168.100.2 -g

Téléverser un fichier via ''TFTP''
busybox tftp -l toto.txt 192.168.100.2 -p

===Serveur TFTP===
Le serveur ''TFTP'' est rarement embarqué dans le ''Busybox'' des distributions ''Linux''. Dans ce cas, il faudra le compilé soit même (testé avec la version 1.36.1).

''Busybox tftpd'' a besoin de s'appuyer sur un programme (lui même présent dans ''Busybox'') d'ouverture de socket réseau : <code lang="bash" inline>udpsvd</code>.

/tmp/busybox-1.36.1/busybox udpsvd -vE 0.0.0.0 69 /tmp/busybox-1.36.1/busybox tftpd -c /tmp/tftp/

Paramètres :
* '''-r''' : lecture seule
* '''-c''' : téléversements autorisés
* '''-u''' : rendre l'utilisateur passé en paramètre propriétaire des fichiers téléversés
* '''-l''' : journaliser dans ''Syslog'' en plus du ''Stdout'' (non fonctionnel d'après mes tests)

==Netcat==
Les commandes [[netcat]] sont identique à la version ''APT'' (avec quelques options en moins).
busybox nc -l -p 2323

busybox nc ipserver 2323

'''Envoyer un [https://tutorials.technology/tutorials/How-to-transfer-files-over-the-network-using-Netcat.html fichier]'''

Sur le serveur :
busybox nc -l -p 9999 > /tmp/titi.dat

Sur le client :
busybox nc 192.168.0.1 9999 < /tmp/titi/titi.dat

==Terminal série==
On peut remplacer l'usage de [[Minicom]] par ''Busybox'' avec l'outil embarqué ''Microcom''.
busybox microcom -s 9600 /dev/ttyUSB0

Pour quitter ''Microcom'', faites la séquence d'échappement <code lang="bash" inline>ctrl+x</code>.

=Sources=
* https://busybox.net/FAQ.html#configure
* https://busybox.net/downloads/BusyBox.html

Proftpd

2024-09-01T20:51:37Z

Ycharbi : /* SFTP */ Correction d'une faute de français

[[Category:Service_partage]]

[http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et [[Sftp-server|SFTP]]. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'[[Apache2]].

=Installation=
Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante permet d'installer le paquet
apt install --no-install-recommends proftpd proftpd-mod-crypto

''ProFTPd'' supporte un grand nombre de modules. Le paquet <code>proftpd-mod-crypto</code> permet d'utiliser ''FTP'' sur ''TLS'', aussi appelé ''FTPS'' ainsi que ''SFTP'', le protocole de transfert de fichiers sur [[Openssh|SSH]].

==SFTP==
De nos jours, l'utilisation des protocoles ''FTP'' et sont pendant chiffré, ''FTPS'', est dépréciée. Les raisons principales de cette tendance, malgré les qualités indéniables de ces derniers sont principalement dû à l'explosion des ''NAT/PAT'' sur les réseaux ''WAN'' ainsi que la systématisation des règles de pare-feux. ''FTP'' est en effet un vieux protocole imaginé à une époque où il était normal (allez savoir pourquoi) d'utiliser une multitude de ports pour réaliser une action simple. Aussi, le port 20/''TCP'' était utilisé pour les données alors que le 21/''TCP'' servait pour transmettre les commandes. La version chiffrée quant à elle utilisait carrément des plages de ports au dessus de 1024 en plus de ceux mentionnés, rendant toute tentative de filtrage fin veine et occasionnait des problèmes de fiabilité avec certaines passerelles ''NAT'' (que je n'ai pour ma part jamais rencontré).

Cependant, la vacance occasionnée par la dépréciation de ces protocoles n'a jamais été réellement comblée. [[Apache2#Partage_WebDAV|WebDAV]] n'est pas très fiable dans ces implémentations (surtout sous [[Windows_net_use#Usages_concrets|Windows]]) et est plus que casse pied à configurer côté serveur (y'a toujours un truc qui va pas) ; ''HTTP'' seul ne permet pas le transfert de répertoires, [[Samba]] et [[Nfs|NFS]] ne sont pas fait pour du ''WAN'' en plus de proposer une sécurité (surtout pour ce dernier) très discutable, ''ISCSI'' ne fonctionne qu'en mode bloc ; [[Sftp-server|SFTP]] embarqué dans un serveur ''SSH'' utilise traditionnellement des utilisateurs ''POSIX'', ce qui oblige à porter une attention toute particulière au durcissement de la configuration en plus de permettre des répercutions catastrophiques en cas de faille (un utilisateur destiné au transfert de fichiers peut, en fin de compte, se connecter au serveur...) ; etc... Aucun remplaçant potentiel n'a donc su prendre la relève avec la légèreté et les fonctionnalités du protocole de transfert de fichiers (''File Transfer Protocol'') traditionnel :
* installation et utilisation simple
* utilisateurs virtuels avec base de données de multiple types allant du fichier plain à la base [[MariaDB - Gestion utilisateurs|SQL]] en passant par l'annuaire [[Ldap|LDAP]]
* emprisonnement des comptes utilisateurs dans un répertoire (''chroot'')
* pas de ''shell''
* gestion des droits
* reprise de téléchargements partiels
* performances maximales
* support très large

L'implémentation de ''SFTP'' proposée par ''ProFTPd'' s'avère alors particulièrement intéressante car elle est décorrélée de tout serveur ''SSH'' et permet l'utilisation de comptes virtuels emprisonnés sans utilisation de ''shell'', réduisant ainsi drastiquement la surface d'attaque. De plus, ce logiciel est reconnu comme apportant un soin prononcé à la sécurité et est éprouvé depuis plusieurs décennies. Il permettra donc de proposer un service quasiment similaire tout en apportant la confidentialité exigée par l'époque...

===Configuration du service===
En mode ''SFTP'' uniquement
mv /etc/proftpd/proftpd.conf /etc/proftpdproftpd.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/proftpd/proftpd.conf
# Chargement du module SFTP
LoadModule mod_sftp.c

# Désactiver le service FTPS
<IfModule mod_tls.c>
TLSEngine off
</IfModule>

# Activer SFTP
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
# Pièger l'utilisateur (chroot) dans son répertoire personnel
DefaultRoot ~
# Journalisation
SFTPLog /var/log/proftpd/sftp.log
SyslogLevel info
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# UseLastlog on

SFTPHostKey /etc/proftpd/ssh_host_ed25519_key

# Méthode d'authentification
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
RequireValidShell off
</IfModule>

# Utiliser les utilisateurs virtuels
<IfModule mod_auth.c>
AuthOrder mod_auth_file.c
</IfModule>

# Base des utilisateurs virtuels
<IfModule mod_auth_file.c>
AuthUserFile /etc/proftpd/ftpd.passwd
AuthGroupFile /etc/proftpd/ftpd.group
</IfModule>

# Limiter l'accès aux utilisateurs virtuels
<Limit LOGIN>
AllowUser toto
DenyAll
</Limit>
_EOF_
</syntaxhighlight>

{{astuce|La configuration proposée impose l'usage de clés ''SSH'' pour la connexion des clients. Pour permettre l'utilisation des mots de passes en cas d'absence de clé, le mot <code>password</code> peut être ajouté à la suite après un espace dans le paramètre correspondant de la façon suivante : <code>SFTPAuthMethods publickey password</code>.}}

L'outil '''exige''' que le nom d'hôte redirige obligatoirement sur son adresse ''IP'' (il doit probablement utiliser cette information pour la création du socket ''TCP''). Définissez cette donnée en l'adaptant à votre configuration :
echo -e "10.0.0.100\t${HOSTNAME}" >> /etc/hosts

===Éléments secrets===
Génération d'une clé ''SSH'' serveur
ssh-keygen -t ed25519 -f /etc/proftpd/ssh_host_ed25519_key -N ""
chmod 600 /etc/proftpd/ssh_host_ed25519_key

Utilisation des clés ''SSH'' pour les clients
mkdir /etc/proftpd/authorized_keys

''Proftpd'' utilise volontairement un format de clé ''SSH'' différent d'[[Openssh|OpenSSH]] pour éviter les conflits avec ce dernier. Il a ainsi choisit la forme décrite dans la [https://www.rfc-editor.org/rfc/rfc4716 RFC 4716]. Il est possible de convertir une clé existante sans altération de l'originale (par retour sur ''stdout'') via la commande suivante sur le client
ssh-keygen -e -f ~/.ssh/id_ed25519.pub

Le résultat est à mettre dans le fichier de clés portant le nom de votre utilisateur ([http://www.proftpd.org/docs/contrib/mod_sftp.html#SFTPAuthorizedUserKeys directive] <code>SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u</code>).

Exemple avec l'utilisateur ''toto''

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/proftpd/authorized_keys/toto
---- BEGIN SSH2 PUBLIC KEY ----
VOTRE
CLÉ PUBLIQUE
AU FORMAT
RFC 4716
---- END SSH2 PUBLIC KEY ----
_EOF_
</syntaxhighlight>

Il est bien entendu possible de chaîner plusieurs clés dans ce même fichier. Il y aura donc autant de sections ''BEGIN/END'' que de clés.

chmod 600 /etc/proftpd/authorized_keys/toto

===Utilisateurs virtuels===
Création du répertoire personnel de l'utilisateur virtuel
mkdir -p /var/lib/proftpd/toto
chown 2000:2000 /var/lib/proftpd/toto

Création dudit utilisateur
ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --uid=2000 --gid 2000 --home=/var/lib/proftpd/toto --shell=/bin/false --sha256 --name=toto
ftpasswd --group --file=/etc/proftpd/ftpd.group --gid=2000 --member=toto --name=Moi

{{astuce|Il est possible de remplacer le mot de passe haché par un <code>!</code> ou tout autre caractère ne correspondant pas à un mot de passe haché dans le fichier <code>passwd</code> afin de désactiver le mot de passe. L'option <code>-l</code> ou <code>--lock</code> peut également être passée à la [http://www.proftpd.org/docs/contrib/ftpasswd.html commande] de création de l'utilisateur (concatène ce caractère au mot haché). Seule les connexions par clé ''SSH'' seront alors autorisées.}}

===Test et application===
Il est possible de tester la configuration avec la commande suivante
proftpd -t -d 10

Le paramètre <code>-d</code> permet d'augmenter le niveau de verbosité du journal sur la sortie standard (de 0 à 10). Il est également possible d'augmenter le niveau de journalisation en conduite en passant la valeur <code>debug</code> à la directive <code>SyslogLevel</code>.

Redémarrer le service pour prendre en compte les modifications (inutile pour la création ou le changement de mot de passe d'un utilisateur)
systemctl restart proftpd.service

Vous pouvez désormais utiliser un client ''SFTP'' pour vérifier le bon fonctionnement.

Exemple avec celui d{{'}}''OpenSSH'' :
sftp -oPort=2222 toto@10.0.0.100
ou
sftp -P 2222 toto@10.0.0.100

===Sources de la section===
* http://www.proftpd.org/docs/directives/
* https://linux.die.net/man/8/proftpd
* https://fr.linux-console.net/?p=5239
* https://blog.victor-hery.com/2019/03/installer-sftp-proftpd.html

Proftpd

2024-09-01T20:47:06Z

Ycharbi : Page créée avec « Category:Service_partage [http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et SFTP. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'Apache2. =Installation= Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante... »

[[Category:Service_partage]]

[http://proftpd.org/ ProFTPd] est un logiciel permettant de monter un serveur de fichiers basé sur les protocoles ''FTP'' ; ''FTPS'' et [[Sftp-server|SFTP]]. Il a la particularité d'utiliser des fichiers de configuration proches de ceux d'[[Apache2]].

=Installation=
Référence dans son domaine, il est probablement disponible dans les dépôts de la distribution ''Linux'' que vous utilisez. Pour ''Debian 12'', la commande suivante permet d'installer le paquet
apt install --no-install-recommends proftpd proftpd-mod-crypto

''ProFTPd'' supporte un grand nombre de modules. Le paquet <code>proftpd-mod-crypto</code> permet d'utiliser ''FTP'' sur ''TLS'', aussi appelé ''FTPS'' ainsi que ''SFTP'', le protocole de transfert de fichiers sur [[Openssh|SSH]].

==SFTP==
De nos jours, l'utilisation des protocoles ''FTP'' et sont pendant chiffré, ''FTPS'', est dépréciée. Les raisons principales de cette tendance, malgré les qualités indéniables de ces derniers est principalement dû à l'explosion des ''NAT/PAT'' sur les réseaux ''WAN'' ainsi que la systématisation des règles de pare-feux. ''FTP'' est en effet un vieux protocole imaginé à une époque où il était normal (allez savoir pourquoi) d'utiliser une multitude de ports pour réaliser une action simple. Aussi, le port 20/''TCP'' était utilisé pour les données alors que le 21/''TCP'' servait pour transmettre les commandes. La version chiffrée quant à elle utilisait carrément des plages de ports au dessus de 1024 en plus de ceux mentionnés, rendant toute tentative de filtrage fin veine et occasionnait des problèmes de fiabilité avec certaines passerelles ''NAT'' (que je n'ai pour ma part jamais rencontré).

Cependant, la vacance occasionnée par la dépréciation de ces protocoles n'a jamais été réellement comblée. [[Apache2#Partage_WebDAV|WebDAV]] n'est pas très fiable dans ces implémentations (surtout sous [[Windows_net_use#Usages_concrets|Windows]]) et est plus que casse pied à configurer côté serveur (y'a toujours un truc qui va pas) ; ''HTTP'' seul ne permet pas le transfert de répertoires, [[Samba]] et [[Nfs|NFS]] ne sont pas fait pour du ''WAN'' en plus de proposer une sécurité (surtout pour ce dernier) très discutable, ''ISCSI'' ne fonctionne qu'en mode bloc ; [[Sftp-server|SFTP]] embarqué dans un serveur ''SSH'' utilise traditionnellement des utilisateurs ''POSIX'', ce qui oblige à porter une attention toute particulière au durcissement de la configuration en plus de permettre des répercutions catastrophiques en cas de faille (un utilisateur destiné au transfert de fichiers peut, en fin de compte, se connecter au serveur...) ; etc... Aucun remplaçant potentiel n'a donc su prendre la relève avec la légèreté et les fonctionnalités du protocole de transfert de fichiers (''File Transfer Protocol'') traditionnel :
* installation et utilisation simple
* utilisateurs virtuels avec base de données de multiple types allant du fichier plain à la base [[MariaDB - Gestion utilisateurs|SQL]] en passant par l'annuaire [[Ldap|LDAP]]
* emprisonnement des comptes utilisateurs dans un répertoire (''chroot'')
* pas de ''shell''
* gestion des droits
* reprise de téléchargements partiels
* performances maximales
* support très large

L'implémentation de ''SFTP'' proposée par ''ProFTPd'' s'avère alors particulièrement intéressante car elle est décorrélée de tout serveur ''SSH'' et permet l'utilisation de comptes virtuels emprisonnés sans utilisation de ''shell'', réduisant ainsi drastiquement la surface d'attaque. De plus, ce logiciel est reconnu comme apportant un soin prononcé à la sécurité et est éprouvé depuis plusieurs décennies. Il permettra donc de proposer un service quasiment similaire tout en apportant la confidentialité exigée par l'époque...

===Configuration du service===
En mode ''SFTP'' uniquement
mv /etc/proftpd/proftpd.conf /etc/proftpdproftpd.conf.ori

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/proftpd/proftpd.conf
# Chargement du module SFTP
LoadModule mod_sftp.c

# Désactiver le service FTPS
<IfModule mod_tls.c>
TLSEngine off
</IfModule>

# Activer SFTP
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
# Pièger l'utilisateur (chroot) dans son répertoire personnel
DefaultRoot ~
# Journalisation
SFTPLog /var/log/proftpd/sftp.log
SyslogLevel info
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# UseLastlog on

SFTPHostKey /etc/proftpd/ssh_host_ed25519_key

# Méthode d'authentification
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
RequireValidShell off
</IfModule>

# Utiliser les utilisateurs virtuels
<IfModule mod_auth.c>
AuthOrder mod_auth_file.c
</IfModule>

# Base des utilisateurs virtuels
<IfModule mod_auth_file.c>
AuthUserFile /etc/proftpd/ftpd.passwd
AuthGroupFile /etc/proftpd/ftpd.group
</IfModule>

# Limiter l'accès aux utilisateurs virtuels
<Limit LOGIN>
AllowUser toto
DenyAll
</Limit>
_EOF_
</syntaxhighlight>

{{astuce|La configuration proposée impose l'usage de clés ''SSH'' pour la connexion des clients. Pour permettre l'utilisation des mots de passes en cas d'absence de clé, le mot <code>password</code> peut être ajouté à la suite après un espace dans le paramètre correspondant de la façon suivante : <code>SFTPAuthMethods publickey password</code>.}}

L'outil '''exige''' que le nom d'hôte redirige obligatoirement sur son adresse ''IP'' (il doit probablement utiliser cette information pour la création du socket ''TCP''). Définissez cette donnée en l'adaptant à votre configuration :
echo -e "10.0.0.100\t${HOSTNAME}" >> /etc/hosts

===Éléments secrets===
Génération d'une clé ''SSH'' serveur
ssh-keygen -t ed25519 -f /etc/proftpd/ssh_host_ed25519_key -N ""
chmod 600 /etc/proftpd/ssh_host_ed25519_key

Utilisation des clés ''SSH'' pour les clients
mkdir /etc/proftpd/authorized_keys

''Proftpd'' utilise volontairement un format de clé ''SSH'' différent d'[[Openssh|OpenSSH]] pour éviter les conflits avec ce dernier. Il a ainsi choisit la forme décrite dans la [https://www.rfc-editor.org/rfc/rfc4716 RFC 4716]. Il est possible de convertir une clé existante sans altération de l'originale (par retour sur ''stdout'') via la commande suivante sur le client
ssh-keygen -e -f ~/.ssh/id_ed25519.pub

Le résultat est à mettre dans le fichier de clés portant le nom de votre utilisateur ([http://www.proftpd.org/docs/contrib/mod_sftp.html#SFTPAuthorizedUserKeys directive] <code>SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u</code>).

Exemple avec l'utilisateur ''toto''

<syntaxhighlight lang="bash">
cat << '_EOF_' >> /etc/proftpd/authorized_keys/toto
---- BEGIN SSH2 PUBLIC KEY ----
VOTRE
CLÉ PUBLIQUE
AU FORMAT
RFC 4716
---- END SSH2 PUBLIC KEY ----
_EOF_
</syntaxhighlight>

Il est bien entendu possible de chaîner plusieurs clés dans ce même fichier. Il y aura donc autant de sections ''BEGIN/END'' que de clés.

chmod 600 /etc/proftpd/authorized_keys/toto

===Utilisateurs virtuels===
Création du répertoire personnel de l'utilisateur virtuel
mkdir -p /var/lib/proftpd/toto
chown 2000:2000 /var/lib/proftpd/toto

Création dudit utilisateur
ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --uid=2000 --gid 2000 --home=/var/lib/proftpd/toto --shell=/bin/false --sha256 --name=toto
ftpasswd --group --file=/etc/proftpd/ftpd.group --gid=2000 --member=toto --name=Moi

{{astuce|Il est possible de remplacer le mot de passe haché par un <code>!</code> ou tout autre caractère ne correspondant pas à un mot de passe haché dans le fichier <code>passwd</code> afin de désactiver le mot de passe. L'option <code>-l</code> ou <code>--lock</code> peut également être passée à la [http://www.proftpd.org/docs/contrib/ftpasswd.html commande] de création de l'utilisateur (concatène ce caractère au mot haché). Seule les connexions par clé ''SSH'' seront alors autorisées.}}

===Test et application===
Il est possible de tester la configuration avec la commande suivante
proftpd -t -d 10

Le paramètre <code>-d</code> permet d'augmenter le niveau de verbosité du journal sur la sortie standard (de 0 à 10). Il est également possible d'augmenter le niveau de journalisation en conduite en passant la valeur <code>debug</code> à la directive <code>SyslogLevel</code>.

Redémarrer le service pour prendre en compte les modifications (inutile pour la création ou le changement de mot de passe d'un utilisateur)
systemctl restart proftpd.service

Vous pouvez désormais utiliser un client ''SFTP'' pour vérifier le bon fonctionnement.

Exemple avec celui d{{'}}''OpenSSH'' :
sftp -oPort=2222 toto@10.0.0.100
ou
sftp -P 2222 toto@10.0.0.100

===Sources de la section===
* http://www.proftpd.org/docs/directives/
* https://linux.die.net/man/8/proftpd
* https://fr.linux-console.net/?p=5239
* https://blog.victor-hery.com/2019/03/installer-sftp-proftpd.html

Openssh

2024-08-26T17:01:40Z

Ycharbi : Ajout de deux précision concernant les clés publiques + emplacement des balises "syntaxhighlight inline" par "code" pour optimisation + remplacement d'un lien mort + corrections typographiques + correction d'une balise de coloration syntaxique

[[Category:service_ssh]]
[[Category:shell]]

=Authentification par clef SSH=
Au lieu de s'authentifier par mot de passe, les utilisateurs peuvent s'authentifier grâce à la cryptographie asymétrique et son couple de clefs privée/publique, comme le fait le serveur ''SSH'' auprès du client ''SSH''.

==Générer ses clefs==
Pour générer un couple de clefs, tapez sur le client :
ssh-keygen -t ed25519

ou avec plus de paramètres :

ssh-keygen -a 100 -t ed25519 -f ~/.ssh/id_ed25519

Paramètres :
* '''-a''' : nombre d'itérations de la [https://fr.wikipedia.org/wiki/Fonction_de_d%C3%A9rivation_de_cl%C3%A9 fonction de dérivation de clé]. Permet de rendre la clé plus résistante aux attaques par force brut. La valeur par défaut est définie à 16
* '''-t''' : type de clé. La taille d'une clé ''ed25519'' est fixée dans le code d{{'}}''OpenSSH''. Le paramètre <code>-b</code> permet de la spécifier pour les autres formats
* '''-f''' : fichier de destination

Ensuite, il faut envoyer le fichier '''~/.ssh/id_ed25519.pub''' du client sur le serveur, tapez sur le client :
scp /home/user/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR:/home/user/.ssh/authorized_keys

ou

ssh-copy-id -i ~/.ssh/id_ed25519.pub UTILISATEUR@SERVEUR

''Note: le même paramètre <code>-i</code> peut être utilisé avec la commande <code>ssh</code> afin de spécifier la clé à utiliser si plusieurs sont présentes.''

{{astuce|Pour [https://www.phcomp.co.uk/Tutorials/Unix-And-Linux/ssh-check-server-fingerprint.html vérifier l'empreinte] d'une clef, il faut utiliser la [https://linux.die.net/man/1/ssh-keygen commande] <code>ssh-keygen -lf /chemin/de/la/clef</code>. Le hachis résultant est à comparer avec celui de la clef qui est présenté lors de la première connexion à un serveur (les deux doivent bien sûr être identiques). L'algorithme par défaut est le ''SHA256''. Pour modifier ce paramètre, il est possible d'utiliser le paramètre <code>-E <algo_hash></code>. Exemple : <code>ssh-keygen -lE md5 -f ~/.ssh/id_ed25519</code>.}}

En cas de suppression accidentelle de la clé publique, il est possible de la régénérer (à l'identique) à partir de la clé privée
ssh-keygen -yf ~/.ssh/id_ed25519

==Restreindre l'usage d'une clef==
Il est possible de limiter le périmètre d'usage d'une clef ''SSH'' via quelques paramètres dans le fichier ''authorized_keys'' du client. Il est ainsi possible de permettre la connexion d'un client avec une clef spécifique seulement depuis une liste d'''IP'' tout en forçant une commande précise. Par exemple:
vim ~/.ssh/authorized_keys

<syntaxhighlight lang="bash">
from="192.168.1.4,192.168.1.10",command="ls -al --color /" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKWbjAEe0X+NFr0WjEgdJ2vKAIYwYSW6WkJvP2Zg/M4q root@toto
</syntaxhighlight>

Le client n'effectuera alors automatiquement la commande définie par le paramètre ''command'' avant que la connexion ne se ferme d'elle même. De plus, la clef ne sera utilisable que depuis les adresses ''IP'' listés.

===Sources de la section===
* https://stackoverflow.com/questions/402615/how-to-restrict-ssh-users-to-a-predefined-set-of-commands-after-login
* https://www.linuxjournal.com/article/8257
* http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand

==Déactiver l'authentification par mot de passe==
Si nous voulons déactiver l'accès par mot de passe, il faut ajouter la ligne suivante au fichier '''/etc/ssh/sshd_config''' :
<span style="color:#808080">[...]</span>
PasswordAuthentication no

Vous pouvez vous référer à la section traitant du fichier de configuration d{{'}}''OpenSSH'' [[#Fichier sshd_config|plus bas]].

=Déactiver known hosts de SSH=
==Problème==
Lors d'une exécution d'un script contenant du ''SSH'', et lorsque vous avez changé une de vos machines sur la quelle vous vous connectez, ssh demande une intervention humaine :

The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
ECDSA key fingerprint is XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX.
Are you sure you want to continue connecting (yes/no)?

Lorsque vous avez change l'ordinateur en gardant la même ''IP'' :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for foo-bar.net has changed,
and the key for the corresponding IP address 127.0.0.1
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:6
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Le problème avec cette intervention est que le script n'avance pas sans vous.
Pour ma part, j'ai un script qui se lance lors d'une coupure électrique, sans mon intervention mon script qui permet l'extinction de mes machines virtuelles ne se termine pas... c'est pas cool.

==Résolution==
Voici une solution que j'ai trouvé : il faut passer des paramètres à notre commande ''SSH'' :

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@192.168.1.2

{{attention|Ceci désactive la vérification de la somme de contrôle des clés ''SSH''. Ne faîtes ceci que si vous savez ce que vous faîtes car cela rend votre connexion plus sensible à des attaques [https://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu de l'homme du milieu].}}

=Séquences d'échappement=
Parfois lors de la perte d'une session ''SSH'' (problème de connexion ou bug coté serveur) le SHELL ne renvoi pas de ''broken pipe'', ce qui fait que l'on se retrouve avec un terminal bloqué (hyper casse couille) et la seule façon de s'en sortir est d'user de la commande <code>kill</code>. La seule ? Pas tout à fait.

Il existe un truc qui déchire et qu'on ne trouve nul par (c'est toujours les meilleurs choses les mieux gardées) : les séquences d'échappement.

Ces séquences permettent d'interagir avec le SHELL se trouvant en dessous de la session ''SSH'' via le client ''OpenSSH'' lui même. Ainsi, on peu demander à ce cher client de tuer lui même la session au lieu de devoir le faire à sa place quand rien ne va plus (sympa non ?).

==Liste==
Voici la liste exhaustive de ces merveilles (à précéder par la touche <code><Entrer></code>) :
* '''~.''' : Termine la connexion (et toute les sessions multiplexées)
* '''~B''' : Envoi un ''BREAK'' au système distant
* '''~C''' : Ouvre un prompt ''ssh'' (la commande <code>?</code> permet de lister ce que l'on peut y faire)
* '''~R''' : Renégocie la clé de session (SSH version 2 uniquement)
* '''~V/v''' : Augmente/diminue le degré de verbosity (LogLevel)
* '''~^Z''' : Met ''SSH'' en pause
* '''~#''' : Liste toute les connexions redirigées
* '''~&''' : Quitte la session ''SSH'' sans la fermer. On ne peut pas revenir dessus, ça ne sert donc complètement à rien (je ne vois pas pourquoi quelqu'un à développer ça ?!)
* '''~?''' : Écrit cette liste en anglais avec le vrai texte
* '''~~''' : Dans le cas ou le tild (''~'') entre en conflit avec quelque chose, il est possible de le taper 2 fois avant une séquence d'échappement pour l'envoyer.

{{info|Ceci ne fonctionne que lorsque le ''shell'' ne nous donne pas la main. Vous pouvez tester sur une page de <code>man</code> pour tester par exemple.}}

==Sources de la section==
* https://askubuntu.com/questions/29942/how-can-i-break-out-of-ssh-when-it-locks
* https://lonesysadmin.net/2011/11/08/ssh-escape-sequences-aka-kill-dead-ssh-sessions/amp/

=Absence de broken pipe après un redémarrage=
Sur une ''Debian 8'' (''Jessie''), le fait de redémarrer une machine alors que l'on est connecté en ''SSH'' sur celle-ci ne renvoi pas de ''broken pipe'' (la session n'est pas clôturée à l'extinction). Ceci est très énervant car on se retrouve avec un terminal bloqué sur un prompt inactif et l'arrivé du fameux ''broken pipe'' se fait, dans le meilleur des cas, attendre une bonne minute, dans le pire, pour toujours... Pour régler cette merde il suffit d'installer la librairie ''Systemd'' qui gère se comportement et de redémarrer la machine.
apt install libpam-systemd
reboot

=Tunnel SSH=
Faire un tunnel ''SSH'' :
ssh -L 5232:localhost:5232 root@192.168.180.32

Paramètres :
* '''-L''' : Rediriger un flux ''TCP'' ou un socket UNIX sur le client local
* '''Format''' : ''<port local que l'on utilisera sur notre machine>''''':'''''<adresse de l'hôte distant>''''':'''''<port du service distant>''
Ceci mérite une explication pour être clair. Parfois, on installe un programme ([http://radicale.org Radicale] pour mon exemple) qui écoute exclusivement sur son localhost (127.0.0.1) via le port 5232. Quand le serveur n'a pas d'interface graphique (ce qui est normalement le cas si on est pas ''Windobien''), on a pas de navigateur internet. Il peut être utile d'accéder quand même à l'interface d'admin du service (en fait on en a absolument besoin). Il faut donc rediriger le trafic du localhost de l'hôte distant sur notre machine pour l'administration. On prend donc le trafic localhost:5232 du serveur et on le balance sur le localhost:5232 de notre PC local d'admin.

=Relai SSH=
Dans le cas d'une machine accessible seulement depuis une autre (cas d'un PC derrière un routeur ''NAT'' par exemple) embarquant un serveur ''SSH'', il est possible de l'utiliser comme ''Proxy SSH'' afin de joindre celle-ci. Ceci m'est utile pour administrer des machines virtuelles opérants dans un ''VLAN NATté'' par l'hyperviseur avec ma [[#Authentification_par_clef_SSH|clé SSH]]. Pour ce faire, depuis le client:
ssh -J titi@relai toto@destination

==Source de la section==
* https://tuxicoman.jesuislibre.net/2017/02/connexion-ssh-a-travers-un-ordinateur-relai-avec-proxyjump.html

=SSH inversé=
Il est possible de se connecter au client ayant initié une session ''SSH'' via la création d'un socket spécifique. Cette technique se nomme le ''reverse SSH''. Cela peut-être utile dans le cas d'un dépannage ou pour transférer des fichiers à une machine ne disposant pas d'un accès publique à Internet (cas d'un ''NAT'' par exemple). Cette méthode permet alors la prise en main d'un client sans redirection de port au niveau de son accès ''WAN''.

Depuis le client vers le dépanneur :
ssh -NR 12345:localhost:22 utilisateur-dépanneur@ip-dépanneur

Paramètres :
* '''-N''' : n'exécute ni aucune commande ni aucun shell. Cela permet de n'utiliser la session ''SSH'' que pour ouvrir un socket distant et non pour administrer la destination. Dans notre cas, la session sert juste à créer le socket sur lequel nous allons nous connecter
* '''-R''' : redirige le socket local vers le socket distant. C'est ce paramètre qui permettra au dépanneur de se connecter au client via un socket local créé pour l'occasion
* '''12345:localhost:22''' : socket-sur-dépanneur:adresse-d'écoute-du-socket:socket-à-rediriger-vers-12345

Depuis le dépanneur vers le client en passant par le socket redirigé :
ssh -p 12345 utilisateur-client@localhost

Il est aussi possible d'y transférer des fichiers :
scp -P 12345 /chemin/fichier/dépanneur utilisateur-client@localhost:/destination/fichier/pour/le/client

==Source de la section==
* https://doc.ubuntu-fr.org/tutoriel/reverse_ssh#connexion_directe

=Agent SSH=
Le serveur ''OpenSSH'' embarque un agent capable d'enregistrer le mot de passe de vos clés ''SSH''. Vous pouvez donc initier des connexion sans avoir à renseigner cette information à chaque fois.

Initialiser l'agent pour le [[Shell bash|shell]] courant
eval "$(ssh-agent -s)"

Enregistrer le mot de passe de votre clé
ssh-add /root/.ssh/id_ed25519

{{Info|Utilisée sans argument, la commande <code>ssh-add</code> va chercher les clés dans le répertoire personnel de votre utilisateur local courant.}}

==Sources de la section==
* https://rabexc.org/posts/using-ssh-agent
* https://mytrashcode.com/open-connection-authentication-agent

=Fichier sshd_config=
Voici quelques paramètres qu'il peut être utile d'appliquer sur un serveur ''SSH'' (<code>/etc/ssh/sshd_config</code>) :

==Généralités==
PermitRootLogin no
PasswordAuthentication no

AllowUsers toto sauvegardes
ClientAliveInterval 1800

UseDNS no

Description des paramètres :
* '''PermitRootLogin''' ''{no|yes|prohibit-password}'' : définit si l'utilisateur ''root'' peut se connecter. La directive '''prohibit-password''' permet de n'autoriser que l'utilisation de [[#Authentification par clef SSH|clés SSH]] avec ce dernier
* '''PasswordAuthentication''' ''{no|yes}'' : définit si la connexion par mot de passe est autorisé pour tous les utilisateurs (''root'' à part) ou si seulement les clés SSH sont permises
* '''AllowUsers''' : liste blanche des utilisateurs autorisés à ce connecter
* '''ClientAliveInterval''' : si le paramètre est définit, ''OpenSSH'' compte le temps (en secondes) depuis le dernier paquet reçu du client et envoi une demande de réponse à celui-ci. Couplé au paramètre '''ClientAliveCountMax''' (valeur par défaut à ''3''), le serveur fermera automatiquement la session en cas de non réponse prolongée de ce dernier (nombre de fois compté depuis la dernière réponse). Ceci n'est utile que si la connexion entre les deux paires est interrompu (plus de réseau)
* '''UseDNS''' ''{no|yes}'' : définit si ''OpenSSH'' doit résoudre les noms de domaine. Ce paramètre, non content d'être inutile, ralenti CONSIDÉRABLEMENT l'établissement de la connexion dans le cas ou le serveur ''DNS'' est injoignable (fréquent dans des ''LAB'' de tests)

==Chiffrement==
N'utiliser que des [https://cipherlist.eu/ chiffrements sérieux] :
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

Je vous conseil également d'utiliser que des clés ''RSA'' et ''ed25519'' en commentant les lignes <code>HostKey /etc/ssh/ssh_host_dsa_key</code> et <code>HostKey /etc/ssh/ssh_host_ecdsa_key</code>.

Vérifiez également que la version de ''SSH'' utilisée est la 2 via le paramètre <code>Protocol 2</code>.

N'oubliez pas de recharger le service :
systemctl reload ssh

=Fichier ssh_config=
Le client ''SSH'' peut aussi être configuré par utilisateur du système. Il sera alors possible de définir des paramètres personnalisés en fonction de celui se connectant à une machine. Le fichier est à créer dans le répertoire personnel de chaque utilisateur le nécessitant (<code>~/.ssh/config</code>).

Pour utiliser une clé spécifique pour la connexion à une machine :
<syntaxhighlight lang="bash">
Host nomMachine
Hostname fc00:0:0:1::2
User root
Port 22
IdentityFile ~/.ssh/id_ed25519-sauv
IdentitiesOnly yes
IgnoreUnknown UseKeychain,AddKeysToAgent
AddKeysToAgent yes
</syntaxhighlight>

Description des paramètres :
* '''Host nomMachine''' : Ouvre une section concernant un hôte en particulier. La valeur ''nomMachine'' vient créer un nom d'hôte utilisable par ''OpenSSH'' au même titre que si l'on avait rentré une ligne dans le fichier ''hosts''
* '''Hostname''' : adresse de la machine distante
* '''User''' : utilisateur de la machine distante
* '''Port''' : port ''SSH'' de la machine distante
* '''IdentityFile''' : clé ''SSH'' à utiliser (par défaut, seul les noms de clés par défaut sont recherchés)
* '''IdentitiesOnly''' : n'utilise que la clé spécifiée dans le paramètre précédent. Si omis, le client ''SSH'' va tester une connexion distante avec toute les clés qu'il trouvera (occasionnant autant d'échec de connexion sur la machine distante)
* '''IgnoreUnknown''' : permet d'ignorer les paramètres inexistants. Les deux valeurs sont des paramètres faisant la même chose mais sur deux systèmes différents. La première est pour MacOSX et la deuxième pour Linux. Cela permet de faire des copier/coller de configuration sans réfléchir
* '''AddKeysToAgent''' : si la clé ''SSH'' utilisée contient une phrase de passe, elle ne sera demandée que la première fois et stockée dans l'agent ''SSH''

==Sources de la section==
* https://www.man7.org/linux/man-pages/man5/ssh_config.5.html
* https://computingforgeeks.com/managing-ssh-connections-on-linux-unix-using-ssh-config-file/

Gns3

2024-08-23T21:00:58Z

Ycharbi : Correction d'une faute dans le nom de la catégorie "Méthode pyhton3 PIP" + actualisation de cette méthode d'installation + réorganisation de l'ordre des méthodes d'installation + remplacement des balises "sources" obsolètes + corrections typographiques + déplacement d'une partie de l'introduction de la section "Installation" dans la sous-section "Méthode APT"

[[Category:réseaux_linux]]
[https://github.com/GNS3/gns3-gui GNS3] est un logiciel de simulation réseau. il peut simuler des matériels de l'équipementier ''Cisco'' en exploitant de vrais ''IOS'' ; exploiter ''qemu'' au travers du cadriciel ''libvirt'' pour émuler des équipements ; utiliser ''Docker'' ; intégrer des ''IOS'' tournant directement sous ''Linux'' afin d'ajouter des commutateurs de niveau 3 et plus encore. Nous nous trouvons donc avec des équipements virtuels qui réagissent comme des équipement physiques et qui, après avoir été reliés au monde réel par l'intermédiaire d'un pont sur la carte réseau de l'hôte, peuvent communiquer avec leurs pairs physiques de la même manière que de vrai équipements.

{{info|Testé avec la version 2.0 sortie le 02/05/2017}}

=Téléchargement=
Partie obsolète. Passez par [https://github.com/GNS3/gns3-gui GitHub].
''GNS3'' fait partie de ces logiciels casses couilles qui nécessitent un compte pour être téléchargé. Comme je ne supporte pas cette pratique (d'autant plus que ça se dit "logiciel libre" - pas très libre comme façon de faire), j'ai donc recensé les liens ''SourceForge'' du projet (c'est surtout utile si vous voulez le compiler vous-même ou si vous utilisez Mac OS X ou Windows). Pour les distributions Linux, vous trouverez la plupart du temps un binaire dans les dépôts.

* '''Linux :''' https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28/2.2/GNS3-2.2.0dev1.source.zip/download
* '''Mac :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3.dmg/download
* '''Windows :''' https://sourceforge.net/projects/gns-3/files/Releases/v2.1.3/GNS3-2.1.3-all-in-one.exe/download
Dépôt du projet :
* https://sourceforge.net/projects/gns-3/files
* https://sourceforge.net/projects/gns-3/files/Nightly%20Builds/2018-02-28

=Installation=
{{info|Mise à jour du 23/08/2024 : depuis ''Debian 12'', '''seule''' la [[#Méthode_python3_PIP|méthode Python3 PIP]] est supporté via le paramètre d'installation <code>--break-system-packages</code>. La section dédiée a été actualisée en conséquence. Veuillez noter également que l'installation ne fonctionne plus sur ''Debian Sid'' à cette même date. La procédure va donc logiquement probablement changer pour la version 13... Un ticket sur la confection d'un paquet portable est ouvert sur le dépôt [https://github.com/GNS3/gns3-gui/issues/2911 GitHub] du projet sans grande avancée à ce stade. Cela pourrait régler le problème épineux de l'installation et des mises à jours de cet outil à terme.}}

Le paquet ''telnet'' sera également utile pour la connexion aux équipements virtuels
apt install telnet

==Méthode python3 PIP==
GNS3 est installable depuis le gestionnaire de paquet de ''Python3''. Cette méthode est la seule fonctionnelle sous ''Debian 12'' en 2024 :
apt install python3-pip
apt install python3-pyqt5.qtsvg python3-pyqt5.qtwebsockets

pip3 install --break-system-packages -U gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/ubridge -P /usr/bin/
chmod 777 /usr/bin/ubridge

''Note : le binaire de ubridge est celui des dépôts Debian Sid au 17/02/2019.''

{{info|Depuis la version 2.2.5 sortie le 9 janvier 2020, la suite est automatique. Vous pouvez vous arrêter là pour la méthode ''python3 PIP''.}}

Télécharger l'icône de l'application :
<syntaxhighlight lang="bash">
wget https://doc.ycharbi.fr/fichiers/réseaux/gns3/images/gns3.png -P /usr/share/icons/hicolor/48x48/apps/
</syntaxhighlight>

Et créer le lanceur :
vim /usr/share/applications/gns3.desktop

<syntaxhighlight lang="ini">
[Desktop Entry]
Version=1.0
Type=Application
Terminal=false
Exec=gns3 %f
Name=GNS3
Comment=GNS3 Graphical Network Simulator
Icon=/usr/share/icons/hicolor/48x48/apps/gns3.png
Categories=Education;Network;
MimeType=application/x-gns3;application/x-gns3a;application/x-gns3project;
Keywords=simulator;network;netsim;
</syntaxhighlight>

Pour mettre à jour :
pip3 install --break-system-packages -U sip gns3-gui gns3-server PyQt5-sip PyQt5 aiohttp

{{info|Si une des dépendances pose problème (c'était le cas pour ''pyqt5'' en version 5.14.1 vers fin 2019 - début 2020), il est possible d'en installer une version spécifique en la précisant ainsi : <code>pyqt5{{=}}{{=}}5.14.0</code>. Le paquet a depuis changé de casse dans son nom comme vous pouvez le constater dans la ligne ce-dessus... Cet écosystème est insupportable. Il faut faire une veille constante, ce qui rend chaque mises à jours risquées et le maintient d'une documentation fonctionnelle impossible.}}

==Méthode APT==
Méthode obsolète. Utilisez la [[#Méthode_python3_PIP|méthode Python3 PIP]].

La version de ''GNS3'' disponible dans les dépôts ''Debian'' est affligeante, il s'agit d'une très ancienne version (elle ne permet même pas de supprimer les câbles que l'on connectes aux équipements...), nous allons donc ajouter le dépôt du projet pour être à jour.

Depuis une installation via ''debootstrap'', le paquet <code>dirmngr</code> est absent et est nécessaire à l'importation des clés ''GPG''. Il faut l'installer
apt install dirmngr

{{info|Sous Debian Stretch, la dépendance ''libvirt-bin'' ne peut être satisfaite car il s'agit d'un paquet de transition qui s'est vu découpé en deux paquets nommés ''libvirt-daemon-system'' et ''libvirt-clients'' (voir [https://lists.debian.org/debian-user/2016/11/msg00518.html ici]). Le problème c'est que sans un paquet qui s'appel ''libvirt-bin'', GNS3 est impossible à installer (et c'est pas faute d'avoir essayé, merci le gestionnaire de paquet ''apt'' qui sait se comporter comme une grosse merde quand il le faut). J'ai donc mis au point deux solution pour palier au problème. L'une exploite ''apt'' et une bidouille avec son ''sources.list'', l'autre utilise directement ''dpkg'' pour contourner le problème. Je conseil vivement d'utiliser la solution ''apt''.}}

Comme nous l'avons vu, le paquet ''libvirt-bin'' n'est pas disponible dans les dépôts ''Stretch'' suite à un changement programmé de stratégies de ses mainteneurs. Cependant il est présent dans ceux de Debian Jessie puisque il en été au stade de transition à ce moment là. ''Jessie'' n'étant pas très différent de ''Stretch'', il n'y a pas de risques de stabilité en confondant ce paquet avec les autres. Nous allons donc combiner les dépôts de ''Jessie'' avec ceux de ''Stretch'' pour avoir ce qu'il nous faut. Pas de panique, ''apt'' n'étant pas si mal fait, il prendra toujours les paquets avec un numéros de version plus récent. Ce qui garanti que Seul les paquets absents de ''Stretch'' seront piochés dans ''Jessie''.

Ajouter les dépôts de ''GNS3'' et ''Debian Jessie'' dans ''Stretch''
echo -e '#GNS3\ndeb http://ppa.launchpad.net/gns3/ppa/ubuntu xenial main\n#Debian jessie (pour avoir le paquet libvirt-bin)\ndeb http://ftp.fr.debian.org/debian jessie main' >> /etc/apt/sources.list

{{attention|Avec ''Debian sid/buster'', il faut remplacer la branche '''xenial''' du dépôt '''http://ppa.launchpad.net/gns3/ppa/ubuntu''' par '''bionic'''.}}

Ajout de la clé ''GPG'' des dépôts ''GNS3''
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys F88F6D313016330404F710FC9A2FD067A2E3EF7B

Mise à jour de la base ''apt''
apt update

Installation de ''GNS3''
apt install gns3-gui

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Méthode DPKG==
Cette méthode a été testé avec ''GNS3 1.5.3''. Elle est fonctionnelle mais en plus de sa lourdeur, elle ne permet pas une monté en version simple. Elle reste toutefois plus abordable que la compilation depuis les sources et a été documenté car je me suis bien fait chier pour la pondre quand j'en avais besoin.

Installation des dépendances de ''gns3-gui'' (j'ai enlevé ''gns3-server'' qui réclame ''libvirt-bin'' qui n'existe pas)
apt install python3 python3-pyqt5 python3-pyqt5.qtsvg wireshark vinagre libc6 libexpat1 zlib1g

Installation des dépendances de ''gns3-server'' (j'ai enlevé ''libvirt-bin'' qui n'existe pas)
apt install python3 vpcs qemu-system-x86 qemu-system-arm qemu-kvm cpulimit x11vnc xvfb libc6 libexpat1 zlib1g

Téléchargement des dépendances non disponibles dans les dépôts ''Debian''
wget http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/d/dynamips/dynamips_0.2.16-1~xenial1_amd64.deb http://ppa.launchpad.net/gns3/ppa/ubuntu/pool/main/u/ubridge/ubridge_0.9.11-1~yakkety_amd64.deb

Installation manuelle des dépendances non disponibles dans les dépôts Debian (dépôt ''GNS3'') pour ''gns3-server''
dpkg -i dynamips_0.2.16-1~xenial1_amd64.deb ubridge_0.9.11-1~xenial_amd64.deb

Installation de ''gns3-server'' sans ''libvirt-bin''
dpkg -i --ignore-depends=libvirt-bin gns3-server_1.5.4~xenial1_amd64.deb

Installation de ''gns3-gui''
dpkg -i gns3-gui_1.5.3~xenial5_amd64.deb

À ce stade nous avons ''GNS3'' d'installé. Ne criez pas victoire trop vite car ''libvirt-bin'', bien que nous ayant bien fiat chier reste un élément indispensable pour émuler les équipements. Il va donc falloir l'installer si on veut bénéficier de l’intérêt de ce logiciel. Pour se faire, soit vous optez pour l'installation des dépendances de ''libvirt-bin'' ainsi que lui même à la main, soit vous le récupérez depuis les dépôts ''Jessie'' comme avec la méthode ''apt''.

{{astuce|Les dépendances des ''.deb'' se trouvent avec la commande <code>dpkg-deb --info nom.deb</code>. Lorsque ''apt'' ne veut plus rien savoir et qu'il casse les couille on nettoie tout avec la commande <code>apt --fix-broken install</code>.}}

Attribution des droits à l'outil ''ubridge''
chmod 777 /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

==Ajout d'un IOS Cisco==
Les ''IOS Cisco'' sont disponibles dans [https://{{SERVERNAME}}/fichiers/réseaux/cisco/ios/ nos fichiers]. Il sont à ajouter dans les modèles de routeur (vous trouverez, ce n'est pas très compliqué).

=Lien avec le monde physique=
Faire son réseau virtuel est intéressant mais pouvoir exploiter ses atouts avec de vrais équipements, c'est encore mieux. Ainsi ont peut considérer sont PC hôte comme une baie avec plein d'équipement que l'on relie au réseau externe. Les possibilités sont infinies...

Pour se faire, il faut créer une interface de lien local ''tap'' et lui assigner une adresse ''IP''. On ajoutera ensuite un "cloud" dans ''GNS3'' (équipement avec l'icône de nuage) et on le configurera pour ajouter cette interface dans l'onglet ''NIO TAP''. Il faut rentrer le nom de l'interface dans le champ prévu à cet effet : ''tap0''.

{{info|Avec ''GNS3 2.0'', l'étape avec l'onglet n'est plus nécessaire car le nuage ajoute automatiquement les interfaces qu'il trouve sur l'hôte.}}

==Installation==
===Nouvelle méthode===
De nos jours, tout peut se faire via la commande <code>ip</code> du paquet <code>iproute2</code> comme expliqué [https://www.baturin.org/docs/iproute2/ ici].
ip tuntap add dev tap0 mode tap user toto
ip address add 10.200.200.1/30 dev tap0
ip link set tap0 up

===Ancienne méthode===
Installation des dépendances
apt install uml-utilities

Création de l'interface ''tap0'' et attribution d'une adresse ''IP''
tunctl -t tap0
ip a a 10.200.200.1/30 dev tap0
# ou via ifconfig du paquet net-tools
# ifconfig tap0 10.200.200.1 netmask 255.255.255.252

==Problèmes==
Cette étape aussi simple qu'il puisse y paraître peut générer des erreurs bloquantes. Un message disant quand le chemin de ''ubridge'' n'est pas valide ou qu'il n'est pas installé peut survenir. C'est un problème de permission (Tapez <code>ub+<tab></code> dans un terminal connecté avec l'utilisateur qui doit exécuter ''GNS3'', si ''Bash'' n'auto-complète pas en ''ubridge'', c'est que <code>/usr/bin/ubridge</code> n'a pas les bons droits. Sinon c'est que c'est un problème inconnu (ce qui ne serait pas surprenant vu comment c'est une galère à installer).

Pour régler ça. Faire ceci :
chown yohan:ubridge /usr/bin/ubridge
setcap cap_net_admin,cap_net_raw=ep /usr/bin/ubridge

Ce problème peut également survenir après une mise à jour de ''GNS3''.

=Utilisation des Ios On Unix (IOU)=
''IOS on UNIX'' est un ''IOS'' qui tourne comme un programme sur une distribution ''Linux'' (ça aurai donc dû s'appeler ''IOL'', on est d'accord...). L’intérêt de cette solution est quelle permet de s'affranchir de la principale lacune de ''GNS3'' : l'impossibilité d'utiliser des commutateurs. Les ''IOU'' permettent également d'utiliser un grand nombre de fonctions réservées au haut de gamme des chez ''Cisco''. Sous ''Windows'', ''GNS3'' utilise [[qemu]] pour émuler une distribution ''Linux'' afin de faire tourner ''IOU'', ce qui en diminue très grandement l'intérêt (en même temps qu'elle idée d'utiliser ''Windows''...).

Autre chose : Je n'ai pas réussi à déterminer si l'utilisation des ''IOU'' représentait une violation de licence car comme à son habitude, ''Cisco'' pratique l’obscurantisme sur les détails et personne ne semble se soucier de ce sujet...

Les ''IOU'' sont des programmes 32 bits (sans commentaires...), on est donc obligé d'ajouter une dépendance ''i386'' dans notre chère distribution ''amd64''.
dpkg --add-architecture i386

apt update

''Attention si vous utilisez ma documentation sur [[apt-mirror]] et que des erreurs 404 s'affichent dû au fait que vous n'avez pas l'ensemble des dépôts ''i386'' en local (même si c'est des dépôts qui n'ont rien avoir avec la choucroute), je vous recommande de changer de serveur ''DNS'' dans <code>/etc/resolv.conf</code> le temps de l'installation sinon vous allez tourner en rond avec des erreurs de dépendance APT bien casse couille (c'est du vécu) sans comprendre la raison de toute cette merde.''
apt install libssl1.1:i386

Il faut désormais créer un lien symbolique pour que ce balo d{{'}}''IOU'' la trouve (bah oui, c'est trop compliqué de pointer sur la bonne librairie hein, on va laisser l'utilisateur faire le travail à la place des dev de ''Cisco'' tien)
ln -s /usr/lib/i386-linux-gnu/libcrypto.so.1.1 /usr/lib/libcrypto.so.4

Pour que ''IOU'' fonctionne, il faut une licence, que l'on va devoir générer. Mais avant toute chose il faut faire pointer notre interface de lien local sur notre nom d'hôte ainsi qu'un nom de domaine de chez ''Cisco'' (probablement un mécanisme de vérification de licence). Dans mon exemple, mon nom d'hôte est ''debian'', adaptez à votre cas.
echo "debian" > /etc/hostname
hostname debian
echo -e "127.0.0.1 debian\n127.0.0.1 xml.cisco.com" >> /etc/hosts

{{attention|La suite de cette procédure doit être exécuté en utilisateur standard.}}

Téléchargez le script de génération de licence
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/CiscoKeyGen.py

Générez la licence (veillez à bien utiliser python 2 et non 3)
python2.7 CiscoKeyGen.py

Copiez la section suivante dans <code>~/.iourc</code> (celle du script hein, pas la mienne, sinon ça va pas marcher gros bêta)
[license]
debian = b0acc48944f31bd4;

Créez le répertoire d'accueil des ''IOU''
mkdir -p ~/GNS3/images/IOU/

Téléchargez des ''IOU'' (avec la commande suivante ou [https://{{SERVERNAME}}/fichiers/r%c3%a9seaux/cisco/iou/ ici])
wget https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l2-adventerprisek9-15.1a.bin https://doc.ycharbi.fr/fichiers/r%c3%a9seaux/cisco/iou/i86bi-linux-l3-adventerprisek9-15.2.4M1.bin -P ~/GNS3/images/IOU/

Les ''IOU'' étant des programmes, il faut leur donner les droits d'exécution
chmod +x ~/GNS3/images/IOU/*.bin

La suite ce passe sous ''GNS3'' :
# Ajouter la licence dans GNS3 <code>Edit > Préférences > IOS on UNIX > Edit | Aller chercher ~/.iourc > Apply</code>
# Ensuite, ajouter un modèle IOU dans GNS3 <code>Edit > Préférences > IOS on UNIX > IOU Device > New</code>
# Profitez d'un truck qui déchire pour vos archis !

==Sources de la section==
* '''Principale :''' Principale : https://nlabweb.wordpress.com/2016/04/06/running-cisco-switches-on-gns3/#more-147
* '''Problème de libcrypto.so.4 :''' https://www.youtube.com/watch?v=chcHuF3nEoQ
* '''CiscoKeyGen :''' https://gist.github.com/paalfe/8edd82f780c650ae2b4a/archive/bd7b6b8a81c338359e6de4ff0ed0def9f7dc9146.zip
* '''Images IOU :''' https://drive.google.com/file/d/0B8tSmsEbVQs-bjVXY3VqMFJrc1E/view

==À creuser==
Se passer de ''GNS3'' pour les ''IOU'' : https://myhowtosandprojects.blogspot.fr/2013/08/installing-and-running-iou-checking_10.html

=Utilisation de Docker=
[[Docker]] est une solution de conteneurisation. Il permettra de créer des serveurs et des postes clients virtuelles ainsi que faire des analyses réseaux au sein de l'infra virtuelle. Docker n'est malheureusement pas dans les dépôts Debian. Il faut donc ajouter le dépôt officiel à la main.

==Installation==
Pour l'installation de ''Docker'', ce référer à la page suivante : [[Docker#Installation|Installation de Docker]].

==Configuration==
Ajout de l'utilisateur se servant de ''GNS3'' au groupe <code>docker</code> (sinon l'application ne pourra pas se connecter au démon ''docker'' pour interagir avec les conteneurs)
usermod -aG docker <VOTRE_UTILISATEUR_DE_GNS3>

Je n'ai pas trouver comment appliquer ces changements autrement qu'en redémarrant, navré
reboot

Téléchargement d'un conteneur ''Kalilinux'' (en ''root'')
docker pull gns3/kalilinux

{{astuce|Il y a un bon nombre de conteneurs téléchargeables dans le [https://hub.docker.com/r/gns3/ dépôt Docker du projet GNS3]. Je vous conseils d'aller y faire un tour.}}

Il faut maintenant ajouter le conteneur à ''GNS3'' en tant que modèle. Pour se faire il faut aller dans les paramètres, dans la section dédié à ''Docker'' et faire du clickodrôme jusqu'à l'ajout de notre conteneur (le 3ème lien des sources montre la procédure officielle si vraiment vous êtes en galère).

==Problèmes==
Tout comme ''ubridge'', ''Docker'' peut ne pas fonctionner pour cause de permission. Si la commande <code>docker ps</code> renvoi une erreur de permission en tant que utilisateur utilisant ''GNS3'', c'est qu'il n'appartient pas au groupe <code>docker</code>.

J'ai également eu l'erreur <code>Docker has returned an error: 304 b</code> avec ''GNS3 1.5.3''. Je n'ai pas eu le temps de résoudre cette erreur qui a été corrigé avec la mise à jour 2.0 de ''GNS3'' et je n'ai pas de piste de résolution (ça semble être le problème de merde bien chiant à régler avec aucune aide sur Internet). Dieu vous garde si vous la rencontrez...

==Sources==
* https://store.docker.com/editions/community/docker-ce-server-debian?tab=description
* http://stackoverflow.com/questions/21871479/docker-cant-connect-to-docker-daemon
* https://docs.gns3.com/1KGkv1Vm5EgeDusk1qS1svacpuQ1ZUQSVK3XqJ01WKGc/index.html
* https://hub.docker.com/r/gns3/kalilinux/

=Sources=
* http://docs.gns3.com/1QXVIihk7dsOL7Xr7Bmz4zRzTsJ02wklfImGuHwTlaA4/

Mitmproxy

2024-08-15T15:42:16Z

Ycharbi : Corrections de fautes de français + légère mise en forme + ajout de la section "Sources"

[[Category:Services_mandataire]]

[https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluations des mesures de protections d'un système d'information.
Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''.

Il peut, en outre, servir à espionner la navigation ''HTTPS'' des utilisateurs d'un réseau à accès limité (obligeant l'accès au ''WAN'' par l'intermédiaire d'un mandataire). À l'issue de la lecture de ce document, vous devriez être sensibilisé à ne jamais réaliser d'opérations personnelles sur ce genre de réseau (connexion à un ''Webmail'' ou à tout portail nécessitant un identifiant personnel par exemple).

Cette documentation explique brièvement comment se servir de l'outil pour enregistrer les clés de sessions ''TLS'' et présente un cas pratique avec le déchiffrement d'un <code>docker pull</code>. Les trames capturées via [[Tcpdump]] pourront alors être examinées par un outil graphique comme [[Wireshark]].

=Mise en œuvre=
==Installation==
Installation de l'outil
apt install --no-install-recommends mitmproxy

Le fait de lancer <code>mitmproxy</code> créé automatiquement le répertoire <code>~/.mitmproxy</code> contenant les éléments secrets utilisés dans une transaction ''TLS''. Il est alors possible d'importer le certificat serveur dans la base local du client à espionner ou générer son propre certificat via [[openssl|OpenSSL]].

Afin d'agrémenter la démonstration, la seconde solution sera utilisée. Outre l'aspect didactique, générer votre propre certificat est indispensable lorsque l'interception concerne la communication d'une application exigeante en terme de vérification (ce pourquoi [[Docker]] est utilisé en guise d'exemple). Il est en effet nécessaire dans ce cas d'ajouter des noms alternatifs dans la section <code>subjectAltName</code> du [https://fr.wikipedia.org/wiki/X.509 certificat X.509] afin de spécifier les adresses signées par celui-ci.

==Configuration des clés==
Création du répertoire d'accueil des éléments secrets
mkdir -p ~/.mitmproxy/certs

Génération desdits éléments
<syntaxhighlight lang="bash" line>
# Génération de la clé privée de l'autorité de certification (AC)
openssl genrsa -out ~/.mitmproxy/certs/ca.key 2048
# Génération du couple de clés du serveur mandataire
openssl req -new -x509 -days 365 -key ~/.mitmproxy/certs/ca.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA" -out ~/.mitmproxy/certs/ca.crt
# Création d'un fichier de demande de certificat auprès de l'AC
openssl req -newkey rsa:2048 -nodes -keyout ~/.mitmproxy/certs/serveur.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=*" -out ~/.mitmproxy/certs/serveur.csr
# Génération d'un certificat signé par l'AC et intégrant la liste des domaines à certifier
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1") -days 365 -in ~/.mitmproxy/certs/serveur.csr -CA ~/.mitmproxy/certs/ca.crt -CAkey ~/.mitmproxy/certs/ca.key -CAcreateserial -out ~/.mitmproxy/certs/serveur.crt

# Chaînage du certificat avec la clé associée pour mitmproxy
cat ~/.mitmproxy/certs/serveur.crt ~/.mitmproxy/certs/serveur.key > ~/.mitmproxy/certs/cert.pem
</syntaxhighlight>

Le point d'intérêt principal de ces opérations et qui devra être personnalisé en fonction du cas à traiter est la sous-commande <code>printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1"</code> présente à la ligne numéro 8. Utilisez les domaines que vous voulez voir validé par ''TLS'' lors de la poignée de main entre une application cliente et votre mandataire.

==Tests de fonctionnement==
Afin de tester notre préparation, nous pouvons lancer <code>mitmproxy</code> de la façon suivante :
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

où :
* '''SSLKEYLOGFILE= ''' : emplacement du fichier contenant les clés négociées lors des différentes sessions ''TLS''
* '''--certs *= ''' : emplacement du certificat chaîné serveur pour signer le domaine spécifié dans la commande (ici <code>*</code> pour tout les domaines). Il peut y avoir plusieurs fois ce paramètre pour mettre autant de certificats que de domaines au besoin

Les clients ''HTTP'' communs peuvent êtres utilisés pour tester le fonctionnement de la solution
curl --proxy 127.0.0.1:8080 --cacert ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy
wget -e https_proxy=127.0.0.1:8080 --ca-certificate ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy

L'exploitation du fichier de clés est expliqué dans le cas pratique de la section suivante.

=Cas pratique=
Comme énoncé en introduction, nous allons utiliser notre outil pour analyser les requêtes effectuées par un <code>docker pull</code>. Cet outil étant particulièrement chiant avec ''HTTPS'' (comme la majorité des applications écrites en ''Golang''), la mise en œuvre de notre capture représente un bon exercice.

Pour que cela fonctionne, il faut :
* un certificat avec les bons domaines renseignés dans le champ <code>subjectAltName</code> (fait dans l'étape préparatoire)
* ajouter ce certificat dans la configuration du registre d'image ''Docker'' dont l'adresse sera remplacée par celle de notre mandataire (la commande de tirage de l'image reste identique)
* configurer ''Docker'' pour utiliser notre mandataire
* ajouter ce même certificat dans la base interne du système client
* rafraîchir la configuration de ''Systemd'' et relancer le démon ''Docker''

==Installation des paquets==
Installation de ''Docker'' et de ''Tcpdump''
apt install --no-install-recommends docker.io tcpdump

Le premier servira d'application ''TLS'' cliente et le second capturera le trafic chiffré. Celui-ci sera par la suite déchiffré par ''Wireshark'' à l'aide des clés enregistrées par ''Mitmproxy'' pendant la communication.

==Configuration de l'environnement==
Ajout du certificat du mandataire comme celui d'un registre d'images
mkdir -p /etc/docker/certs.d/127.0.0.1:8080
cp ~/.mitmproxy/certs/serveur.crt /etc/docker/certs.d/127.0.0.1:8080/ca.crt

Configuration du mandataire pour les requêtes au dépôt distant
mkdir -p /etc/systemd/system/docker.service.d

<syntaxhighlight lang="ini">
cat << '_EOF_' > /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Environment="HTTPS_PROXY=https://127.0.0.1:8080"
_EOF_
</syntaxhighlight>

Ajout du certificat dans la base interne du système
cp ~/.mitmproxy/certs/serveur.crt /usr/local/share/ca-certificates/
update-ca-certificates

Rechargement de la configuration de ''Systemd'' et du démon ''Docker''
systemctl daemon-reload
systemctl restart docker.service

{{astuce|Il est possible d'afficher les variables d'environnements passées à l'exécutable de ''Docker'' par le service ''Systemd'' via la commande <code>systemctl show --property{{=}}Environment docker</code> afin de valider la bonne prise en compte de notre paramètre. Un <code>docker search alpine</code> vous indiquera rapidement si votre installation est correcte. En cas de fonctionnement, le mandataire affichera la session et la commande renverra son résultat habituel. En cas d'erreur, une indication sur l'origine du problème rencontré par le client sera renvoyée dans la console.}}

==Tests de fonctionnement==
Nous aurons besoin de trois consoles pour réaliser les opérations qui vont suivre. Un multiplexeur de terminal comme [https://github.com/tmux/tmux/wiki Tmux] peut s'avérer bien utile dans de pareils circonstances. La commande <code>tmux new -A -s toto</code> peut être utilisée pour initier un tel environnement (totalement facultatif).

===Première console===
Exécuter le mandataire
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

===Deuxième console===
Exécuter l'enregistreur de trames
tcpdump -ni any -w /tmp/tls.pcap port not 22

===Troisième console===
Tirer une image du registre distant
docker pull alpine

Si tout est bon, votre image a été récupérée par <code>docker</code>, <code>tcpdump</code> a enregistré l'échange chiffré et <code>mitmproxy</code> a journalisé les sessions en plus d'avoir enregistré les clés ''TLS'' de celles-ci. Il ne reste plus qu'à quitter les programmes des deux premières consoles pour en envoyer les fichiers de capture et de clés à une machine graphique possédant <code>wireshark</code> pour déchiffrement et analyse.
scp /tmp/tls.pcap /tmp/clés_tls_mitm.txt ycharbi@\[2001:db8::1\]:/tmp/

===Sur la machine graphique===
Ouvrir le fichier de capture <code>/tmp/tls.pcap</code> avec ''Wireshark'' et ajouter le fichier de clés <code>/tmp/clés_tls_mitm.txt</code> dans les paramètres du protocole ''TLS'' : <syntaxhighlight lang="ini" inline><ctrl>+<maj>+<p> > Protocols > TLS > (Pre)-Master-Sercret log filename > Parcourir... > /tmp/clés_tls_mitm.txt > OK</syntaxhighlight>.

Les paquets ''TLS'' se déchiffrent instantanément, laissant apparaître les paquets ''HTTP'' qu'ils masquaient. Vous pouvez ainsi observer les ''URL'' que le client ''Docker'' requêtes pour récupérer ses images.

=Sources=
* https://docs.mitmproxy.org/stable/
** https://docs.mitmproxy.org/stable/howto-wireshark-tls/
** https://docs.mitmproxy.org/stable/concepts-options/
* https://medium.com/@ifeanyiigili/how-to-setup-a-private-docker-registry-with-a-self-sign-certificate-43a7407a1613
* https://betterprogramming.pub/deploy-a-docker-registry-using-tls-and-htpasswd-56dd57a1215a

Mitmproxy

2024-08-15T15:20:21Z

Ycharbi : Page créée avec « Category:Services_mandataire [https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluation des mesures de protections d'un système d'information. Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''. Il... »

[[Category:Services_mandataire]]

[https://mitmproxy.org/ Mitmproxy] est un mandataire (''proxy'') destiné au débogage, tests, notamment de pénétrations ainsi qu'aux évaluation des mesures de protections d'un système d'information.
Il est extrêmement utile pour comprendre le fonctionnement d'un programme officiant au travers de sessions ''HTTPS'' puisqu'il permet de réunir les éléments nécessaires à l'inspection des trames chiffrées par ''TLS''.

Il peut, en outre, servir à espionner la navigation ''HTTPS'' des utilisateurs d'un réseau limité (obligeant l'accès au ''WAN'' par l'intermédiaire d'un mandataire). À l'issue de la lecture de ce document, vous devriez être sensibilisé à ne jamais réaliser d'opérations personnelles sur ce genre de réseau (connexion à un ''Webmail'' ou à tout portail nécessitant un identifiant personnel par exemple).

Cette documentation explique brièvement comment se servir de l'outil pour enregistrer les clés de sessions ''TLS'' et présente un cas pratique avec le déchiffrement d'un <code>docker pull</code>. Les trames capturées via [[Tcpdump]] pourront alors être examinées par un outil graphique comme [[Wireshark]].

=Mise en œuvre=
==Installation==
Installation de l'outil
apt install --no-install-recommends mitmproxy

Le fait de lancer <code>mitmproxy</code> créé automatiquement le répertoire <code>~/.mitmproxy</code> contenant les éléments secrets utilisés dans une transaction ''TLS''. Il est alors possible d'importer le certificat serveur dans la base local du client à espionner ou générer son propre certificat via [[openssl|OpenSSL]]. Afin d'agrémenter la démonstration, la seconde solution sera utilisée. Outre l'aspect didactique, générer votre propre certificat est indispensable lorsque l'interception de la communication d'une application exigeante en terme de vérification est utilisée (ce pourquoi [[Docker]] est utilisé en guise d'exemple). Il est en effet nécessaire dans ce cas d'ajouter des noms alternatifs dans la section <code>subjectAltName</code> du [https://fr.wikipedia.org/wiki/X.509 certificat X.509] afin de spécifier les adresses signées par celui-ci.

==Configuration des clés==
Création du répertoire d'accueil des éléments secrets
mkdir -p ~/.mitmproxy/certs

Génération desdits éléments
<syntaxhighlight lang="bash" line>
# Génération de la clé privée de l'autorité de certification (AC)
openssl genrsa -out ~/.mitmproxy/certs/ca.key 2048
# Génération du couple de clés du serveur mandataire
openssl req -new -x509 -days 365 -key ~/.mitmproxy/certs/ca.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA" -out ~/.mitmproxy/certs/ca.crt
# Création d'un fichier de demande de certificat auprès de l'AC
openssl req -newkey rsa:2048 -nodes -keyout ~/.mitmproxy/certs/serveur.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=*" -out ~/.mitmproxy/certs/serveur.csr
# Génération d'un certificat signé par l'AC et intégrant la liste des domaines à certifier
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1") -days 365 -in ~/.mitmproxy/certs/serveur.csr -CA ~/.mitmproxy/certs/ca.crt -CAkey ~/.mitmproxy/certs/ca.key -CAcreateserial -out ~/.mitmproxy/certs/serveur.crt

# Chaînage du certificat avec la clé associée pour mitmproxy
cat ~/.mitmproxy/certs/serveur.crt ~/.mitmproxy/certs/serveur.key > ~/.mitmproxy/certs/cert.pem
</syntaxhighlight>

Le point d'intérêt principal de ces opérations et qui devra être personnalisé en fonction du cas à traiter est la sous commande <code>printf "subjectAltName=DNS:*.ycharbi.fr,DNS:*.docker.io,DNS:*.cloudflare.docker.com,IP:127.0.0.1"</code> présente à la ligne numéro 8. Utilisez les domaines que vous voulez voir validé par ''TLS'' lors de la poignée de main entre une application cliente et votre mandataire.

==Tests de fonctionnement==
Afin de tester notre préparation, nous pouvons lancer <code>mitmproxy</code> de la façon suivante :
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

où :
* '''SSLKEYLOGFILE= ''' : emplacement du fichier contenant les clés négociées lors des différentes sessions ''TLS''
* '''--certs *= ''' : emplacement du certificat chaîné serveur pour signer le domaine spécifié dans la commande (ici <code>*</code> pour tout les domaines). Il peut y avoir plusieurs fois ce paramètre pour mettre autant de certificat que de domaines au besoin

Les clients ''HTTP'' communs peuvent êtres utilisés pour tester le fonctionnement de la solution
curl --proxy 127.0.0.1:8080 --cacert ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy
wget -e https_proxy=127.0.0.1:8080 --ca-certificate ~/.mitmproxy/certs/cert.pem https://doc.ycharbi.fr/index.php/Mitmproxy

L'exploitation du fichier de clés est expliqué dans le cas pratique de la section suivante.

=Cas pratique=
Comme énoncé en introduction, nous allons utiliser notre outil pour analyser les requêtes effectuées par un <code>docker pull</code>. Cet outil étant particulièrement chiant avec ''HTTPS'' (comme la majorité des applications écrites en ''Golang''), la mise en œuvre de notre capture représente un bon exercice.

Pour que cela fonctionne, il faut :
* un certificat avec les bons domaines renseignés dans le champ <code>subjectAltName</code> (fait dans l'étape préparatoire)
* ajouter ce certificat dans la configuration du registre d'image Docker dont l'adresse sera remplacée par celle de notre mandataire (la commande de tirage de l'image reste identique)
* configurer ''Docker'' pour utiliser notre mandataire
* ajouter ce même certificat dans la base interne du système client
* mettre à jour la configuration de ''Systemd'' et relancer le démon ''Docker''

==Installation des paquets==
Installation de ''Docker'' et de ''Tcpdump''
apt install --no-install-recommends docker.io tcpdump

Le premier servira d'application ''TLS'' cliente, le second, capturera le trafic chiffré. Celui-ci sera par la suite déchiffré par ''Wireshark'' à l'aide des clés enregistrées par ''Mitmproxy'' pendant la communication.

==Configuration de l'environnement==
Ajout du certificat du mandataire comme celui d'un registre d'images
mkdir -p /etc/docker/certs.d/127.0.0.1:8080
cp ~/.mitmproxy/certs/serveur.crt /etc/docker/certs.d/127.0.0.1:8080/ca.crt

Configuration du mandataire pour les requêtes au dépôt distant
mkdir -p /etc/systemd/system/docker.service.d

<syntaxhighlight lang="ini">
cat << '_EOF_' > /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Environment="HTTPS_PROXY=https://127.0.0.1:8080"
_EOF_
</syntaxhighlight>

Ajout du certificat dans la base interne du système
cp ~/.mitmproxy/certs/serveur.crt /usr/local/share/ca-certificates/
update-ca-certificates

Rechargement de la configuration de ''Systemd'' et du démon ''Docker''
systemctl daemon-reload
systemctl restart docker.service

{{astuce|Il est possible d'afficher les variables d'environnements passées à l'exécutable de ''Docker'' par le service ''Systemd'' via la commande <code>systemctl show --property{{=}}Environment docker</code> afin de valider la bonne prise en compte de notre paramètre. Un <code>docker search alpine</code> vous indiquera rapidement si votre installation est correcte. En cas de fonctionnement, le mandataire affichera la session et la commande renverra son résultat habituel. En cas d'erreur, une indication sur l'origine du problème rencontré par le client sera renvoyée dans la console.}}

==Tests de fonctionnement==
Nous aurons besoin de trois consoles pour réaliser les opérations qui vont suivre. Un multiplexeur de terminal comme [https://github.com/tmux/tmux/wiki Tmux] peut s'avérer bien utile dans de pareils circonstances. La commande <code>tmux new -A -s toto</code> peut être utilisée pour initier un tel environnement (totalement facultatif).

===Première console===
Exécuter le mandataire
SSLKEYLOGFILE="/tmp/clés_tls_mitm.txt" mitmproxy --certs *=~/.mitmproxy/certs/cert.pem

===Deuxième console===
Exécuté l'enregistreur de trames
tcpdump -ni any -w /tmp/tls.pcap port not 22

===Troisième console===
Tirer une image du registre distant
docker pull alpine

Si tout est bon, votre image a été récupérée par <code>docker</code>, <code>tcpdump</code> a enregistré l'échange chiffré et <code>mitmproxy</code> a journalisé les sessions en plus d'avoir enregistré les clés de sessions ''TLS''. Il ne reste plus qu'à quitter les programmes des deux premières consoles pour en envoyer les fichiers de capture et de clés à une machine graphique possédant <code>wireshark</code> pour déchiffrement et analyse.
scp /tmp/tls.pcap /tmp/clés_tls_mitm.txt ycharbi@\[2001:db8::1\]:/tmp/

===Sur la machine graphique===
Ouvrir le fichier de capture <code>/tmp/tls.pcap</code> avec ''Wireshark'' et ajouter le fichier de clés <code>/tmp/clés_tls_mitm.txt</code> dans les paramètres du protocole ''TLS'' : <syntaxhighlight lang="ini" inline><ctrl>+<maj>+<p> > Protocols > TLS > (Pre)-Master-Sercret log filename > Parcourir... > /tmp/clés_tls_mitm.txt > OK</syntaxhighlight>.

Les paquets ''TLS'' se déchiffrent instantanément, laissant apparaître les paquets ''HTTP'' qu'ils masquaient. Vous pouvez ainsi observer les ''URL'' que le client ''Docker'' requêtes pour récupérer ses images.

Samba

2024-08-14T13:28:05Z

Ycharbi : Correction du paramètre de suppression d'un utilisateur + ajout des paramètres de désactivation et d'activation d'un utilisateur + changement de la commande de création d'un utilisateur pour réaliser d'une traite les opérations de la section "Interdiction d’accès" + suppression de la section "Interdiction d’accès" devenue inutile

[[Category:Service partage]]

Samba est une implémentation libre des protocoles SMB/CIFS de Microsoft. Il est utilisé pour mettre à disposition des ressources sur un réseau local et il comprend l'usage d'une [https://fr.wikipedia.org/wiki/Samba_(informatique)#Fonctionnalit%C3%A9s dizaine de services ainsi que d'une douzaine de protocoles]. Il permet entre autre les usages suivants:
* Partage de fichiers
* Partage d'imprimantes
* Service Active Directory comprenant une version modifiée de:
** Kerberos
** LDAP
* NetBIOS sur TCP/IP (NBT)
* Protocole d'appel distant DCE/RPC, MSRPC
* Serveur WINS aussi appelé NetBIOS Naming Service (NBNS)
* Les protocoles d'un domaine NT:
** L'ouverture d'une session NT
** Une base de données Security Account Manager (SAM)
** Un service Local Security Authority (LSA)
** Un service d'impression (Spoolss)
** NTLM

Le gros plus de cette solution étant sont extrême interopérabilité tant de plateformes que de régions linguistiques puisque géré par les systèmes Linux, BSD, Mac OS X et Windows avec un support des encodages UTF-8.

Ce projet est rendu possible par un accord d'[https://www.samba.org/samba/PFIF/ information technique] signé par Microsoft le 20 décembre 2007 faisant suite à un procès perdu contre l'Union européenne.

{{info|Cette documentation se base sur une Linux Debian 9.}}

'''Ports utilisés:'''
* 137 udp
* 138 udp
* 138 tcp
* 139 tcp

=Installation=
apt install samba

=Configuration=
Nous allons partir d'un fichier vierge. Il faut donc renommer l'ancien pour ne pas qu'il soit utilisé
mv /etc/samba/smb.conf /etc/samba/smb.conf.old

'''Création d'un nouveau fichier'''
vim /etc/samba/smb.conf

<source lang="bash">
[global]
server string = SAMBA-YCHARBI
workgroup = LAB
netbios name = SAMBA-YCHARBI
public = yes
encrypt passwords = true
guest ok = yes
map to guest = Bad User
dos charset = CP850
unix charset = UTF8
unix extensions = no
time server = yes
log file = /var/log/samba/log.%m
log level = 2
#Valeur en KB
max log size = 500
#force user = nobody
#force group = nogroup
server min protocol = SMB3
min protocol = SMB3

name resolve order = lmhosts wins bcast host

[Musiques]
path = /home/toto/Musiques
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, titi, nobody
comment = Mes musiques

[Documentation]
path = /home/toto/Documentation
public = no
read only = yes
writeable = no
browseable = yes
valid users = toto
#force user = toto
#force group = toto
comment = Ma documentation

[Programmation]
path = /home/toto/Programmation
public = no
read only = yes
writeable = no
browseable = yes
valid users = toto
comment = Mes programmes

[Vidéos]
path = /home/toto/Vidéos
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, titi, nobody
comment = Mes vidéos

[Logiciels]
path = /home/toto/Logiciels
public = yes
read only = no
writeable = yes
browseable = yes
valid users = toto, titi, nobody
comment = Mes logiciels

[Partage]
path = /home/toto/Partage
public = yes
read only = no
writeable = yes
browseable = yes
valid users = toto, titi, nobody
comment = Partage commun
#create mask = 0777
#force user = nobody
#force group = nogroup

[Windows]
path = /home/toto/Windows
public = yes
read only = yes
writeable = no
browseable = yes
valid users = toto, nobody
comment = Installation de Windows

[Titi]
path = /home/titi
public = no
read only = no
writeable = yes
browseable = yes
valid users = titi
comment = Fichiers de Titi
</source>

Comme nous pouvons le constater, un partage est défini par une section commençant par son nom entre crochets. Les accents sont supportés (pour le montage dans fstab, il faut utiliser [[fstab#Accents_dans_le_fstab|la syntaxe décrite dans le document dédié]]) et il est possible de définir des paramètres personnalisés à chacun d'eux.

{{Attention|Il faut bien penser à créer les répertoires des partages pour que le démon puisse s'exécuter correctement.}}

'''Redémarrer le démon'''
systemctl restart smbd.service

=Création d'un utilisateur=
Pour qu'un utilisateur puisse accéder aux partages, il faut qu'il existe au préalable en tant qu'utilisateur POSIX '''et''' SAMBA. Nous désactiverons la possibilité de connexion POSIX et définirons un mot de passe dédié aux seuls utilisateurs SAMBA (afin qu'une connexion sur le shell du serveur soit impossible par ce biais). Enfin, il faudra gérer les droits d'accès aux fichiers du serveur.

==Utilisateur POSIX==
Rappel, les fichiers gérants les utilisateurs utilisent un formatage sous forme de [https://fr.wikipedia.org/wiki/Champ_Gecos champ GECOS]. Je ne vais pas revenir sur la compréhension de ce formatage proche du CSV.

===Création POSIX===
'''Création de l'utilisateur "toto"'''
useradd -m -d /home/toto -s /bin/false -c "Utilisateur Samba toto" toto

Cette commande créée l'utilisateur <code>toto</code>, son répertoire personnel, lui attribue un ''shell'' non utilisable pour une connexion interactive et précise une description pour l'administrateur.

==Utilisateur SAMBA==
'''Création de l'utilisateur'''
smbpasswd -a toto

'''Suppression d'un utilisateur'''
smbpasswd -x toto

'''Désactivation d'un utilisateur'''
smbpasswd -d toto

'''Activation d'un utilisateur'''
smbpasswd -e toto

'''Aide sur la commande'''
smbpasswd -h

''Note: on peut aussi ce référer au [https://www.samba.org/samba/docs/current/man-html/smbpasswd.8.html manuel de la commande].''

'''Lister les utilisateurs'''
pdbedit -L -v

''Note: le '''-L''' permet de lister et le '''-v''' affiche des détails. Source [https://superuser.com/questions/271034/list-samba-users ici].''

=Droits POSIX=
Le truck le plus chiant avec Samba est la gestion des [[Gestion_des_droits_linux|droits d’accès aux fichiers]]. En effet, sous les système basé sur les concepts UNIX, un utilisateur est propriétaire des fichiers qu'il crée et le UMASK du système de fichiers définit les autres droits à appliquer à celui-ci. Le problème que cela pose dans le cadre d'un partage commun entre plusieurs utilisateurs est que tout ce qui est créé par quelqu'un est en lecture seule pour les autres (vachement pratique...). Une solution que j'aime bien pour palier au problème est l'utilisation des [[Gestion_des_droits_linux#Droits_.C3.A9tendus|ACL Linux]].

'''Installation du paquet'''
apt install acl

'''Gestion des droits d'un répertoire'''

Par exemple, pour permettre l'accès en lecture/écriture aux utilisateurs ''toto'' et ''titi'' sur les fichiers qu'ils créent entre eux. j'utilise ceci sur le répertoire "Partage":
setfacl -Rm d:u:toto:rwx,d:u:titi:rwx,d:u:nobody:rwx,d:g:toto:rwx,d:g:titi:rwx,d:g:nogroup:rwx,d:o:rwx /home/toto/Partage/

=Montage des volume=
==Ligne de commande==
===Sous Debian===
====mount====
'''Installation du paquet'''
apt install cifs-utils

''Note: ce paquet se nommait anciennement "smbfs" et le système de fichier à préciser avec "mount" portait le même nom.''

'''Montage du partage'''
mount -t cifs -o username="anonymous",password="anonymous" //192.168.170.178/Logiciel /mnt/

Ici, la connexion s'effectue en anonyme (un alias de '''-o username''' et '''password''' est '''-o guest'''), il suffit bien entendu de remplacer ceci par les bons identifiants de connexion lorsque nécessaire.

Le volume se monte avec les droit de l'utilisateur ayant attaché ce volume (si renseigné dans le ''fstab'', ce sera ''root''). Pour octroyé les droits du volume à un utilisateur particulier, il faut préciser son UID et son GID dans la commande. Ici, notre utilisateur POSIX ''toto'' possède l'UID 1000 et appartient au GID 1000 (on le voit dans les fichiers <source lang="bash" inline>/etc/passwd</source> et <source lang="bash" inline>/etc/shadow</source>.

On peut par exemple monter le volume ''Partage'' en tant qu'utilisateur ''toto'' avec les droits de ''titi'':

mount -t cifs -o username="toto",password="SonMotDePasse",uid=1001,gid=1001 //192.168.170.178/Partage

====fstab====
Le [[Fstab#Samba|fichier de montage automatique au démarrage]] n'est pas en reste puisque les partages Samba peuvent également en faire partie. Une syntaxe particulière doit être utilisée pour les noms de partages comportant des accents.

===Sous Windows===
[[Windows net use|Voir ici]].

==Interface graphique==
Avec une interface graphique à base de [[Gnome 3|GNOME]], le paquet gérant de manière générale les système de fichiers (et plus particulièrement SMB dans notre cas) dans ''Nautilus'' se nomme <source lang="bash" inline>gvfs-backends</source>. Il suffit donc de l'installer pour pouvoir les monter.
apt install gvfs-backends

Pour monter un répertoire Samba via ''Nautilus'' (alias "fichiers"), ''Caja'' ou autre fork, il faut taper dans la barre d'URL (généralement accessible via un <source lang="bash" inline><ctrl>+<l></source>, un chemin comme celui-ci: <source lang="bash" inline>smb://192.168.170.178/Partage</source>.

Les identifiants de connexion seront demandés à l'issue.

=Sources=
* http://www.linux-france.org/prj/edu/archinet/systeme/ch25s08.html
* https://www.samba.org/samba/docs/

Unified kernel image

2024-08-11T17:01:57Z

Ycharbi : /* Image Noyau Unifiée */ Suppression du support de la génération d'un UKI par le script post installation du noyau. Ceci engendrait un UKI contenant deux fois le noyau au lieu d'une fois celui-ci et une fois l'initrd. Après réflexion, aucun cas de figure ne justifie le maintient de la génération d'un UKI dans le cas de figure imaginé à l'origine

[[Category:Noyau_linux]]

Une Image Noyau Unifiée (INU) ou ''Unified Kernel Image'' (''UKI'') est la combinaison d'un programme de démarrage ''UEFI'', d'une image noyau ''Linux'', d'un ''initrd'' ainsi que d'autres ressources optionnelles dans un seul fichier ''UEFI [https://fr.wikipedia.org/wiki/Portable_Executable PE]''. Il peut alors être invoqué directement par :
* le micrologiciel ''UEFI'' : utile notamment dans certains environnements d'informatique en nuage ou confidentiels
* un chargeur de démarrage : généralement utile pour permettre plusieurs versions de noyau avec une sélection interactive ou automatique de la version dans laquelle démarrer ([[Systemd-boot]] ou [[Grub]] permettent cela)

L'amorçage de cette image unifiée est permise par le ''stub'', programme logé dans celle-ci et pouvant être interprété par l{{'}}''UEFI''. Il constitue donc la partie exécutable initiale de l'image combinée et charge par la suite d'autres ressources à partir du reste de l{{'}}''INU'', en particulier le noyau et l{{'}}''initrd''.

La [https://uapi-group.org/specifications/specs/unified_kernel_image/ spécification officielle] définit le format et les composants (obligatoires et optionnels) des ''UKI'' qui sont fournis en tant que sections ''PE/COFF'' de l'exécutable.

L'intérêt principal de cette approche est qu'elle permet de mieux sécuriser le démarrage d'un système en exposant un unique binaire (''UEFI PE'') en clair sur le disque d'amorçage (''EFI System Partition'' - ''ESP'') au lieu d'une multitude de fichiers pouvant être modifiés par le premier pirate venu. Cet exécutable pourra alors être signé par ''Secure Boot'' et permettre, entre-autre, le déchiffrement de la racine en s'assurant de l’absence de sa propre altération (enregistreur de frappes par exemple).

=Image Noyau Unifiée=
==Installation des outils==
La génération d'une ''INU'' nécessite quelques outils. Le projet ''Systemd'' met à disposition un programme ''Python'' nommé <code>Ukify</code> à partir de la version 253 de l{{'}}''init''. Il est logé à l'emplacement <code>/usr/lib/systemd/ukify</code> mais nécessite la bibliothèque <code>python3-pefile</code> et ses dépendances pour fonctionner. L'approche exposé dans ce document visant la frugalité (''Ukify'' apporte surtout une configuration épurée mais l'aspect fonctionnel est identique), le strict nécessaire sera installé.
apt install --no-install-recommends systemd-boot-efi binutils gawk sbsigntool

Détails des paquets installés :
* '''systemd-boot-efi''' : fournit le ''stub <code>/usr/lib/systemd/boot/efi/linuxx64.efi.stub</code>
* '''binutils''' : fournit le programme de construction du binaire ''PE'' <code>objdump</code>
* '''gawk''' : fournit la version ''GNU'' de l'interpréteur de langage ''AWK'' afin de ne pas avoir l'erreur de fonction non définie <code>function strtonum never defined</code> du <code>awk</code> de base
* '''sbsigntool''' : permet de signer l{{'}}''UKI'' en vu d'une validation ''Secure Boot'' (optionnel)

==Script de génération==
La génération d'une ''UKI'' nécessitant la concaténation d'une multitude d'éléments, il n'est pas envisageable de renseigner l'ensemble des paramètres manuellement. Je vous propose un script permettant la création d'une image ainsi que sa rotation sur trois versions différentes (l'une écrase la précédente à chaque nouvelle exécution).
vim /mnt/usr/local/sbin/gen-uki

<syntaxhighlight lang="bash">
#!/bin/bash

# Récupération de la version du noyau en cours d'utilisation
version_noyau="${1}"

# Chemin vers l'initrd de travail
chemin_initrd="${2}"

# Chemin vers le noyau de travail
chemin_noyau="/boot/vmlinuz-${version_noyau}"

# Définition des variables du script
chemin_lsb="/usr/lib/os-release"
chemin_stub="/usr/lib/systemd/boot/efi/linuxx64.efi.stub"
chemin_cmdline="/etc/kernel/cmdline"
chemin_splash="/dev/null"
nom_uki1="1-debian.efi"
nom_uki2="2-debian.efi"
nom_uki3="3-debian.efi"
chemin_base="/boot/efi/EFI/Linux/"
chemin_dst_uki="${chemin_base}/${nom_uki1}"
chemin_sb_clef="/usr/local/lib/secureboot/mok/MOK.priv"
chemin_sb_cert="/usr/local/lib/secureboot/mok/MOK.pem"

# Création de l'arborescence des UKI
mkdir -p "${chemin_base}"

# Préparation de l'UKI
align="$(objdump -p ${chemin_stub} | awk '{ if ($1 == "SectionAlignment"){print $2} }')"
align=$((16#$align))
osrel_offs="$(objdump -h "${chemin_stub}" | awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"
osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))
cmdline_offs=$((osrel_offs + $(stat -Lc%s "${chemin_lsb}")))
cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))
splash_offs=$((cmdline_offs + $(stat -Lc%s "${chemin_cmdline}")))
splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))
initrd_offs=$((splash_offs + $(stat -Lc%s "${chemin_splash}")))
initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))
linux_offs=$((initrd_offs + $(stat -Lc%s "${chemin_initrd}")))
linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))

# Roulement, si elle existe et n'est pas vide, de l'UKI 2 en 3
if [[ -s "${chemin_base}${nom_uki2}" ]]; then
echo "Copie de l'UKI 2 en 3..."
cp -v "${chemin_base}${nom_uki2}" "${chemin_base}${nom_uki3}"
fi

# Roulement, si elle existe et n'est pas vide, de l'UKI 1 en 2
if [[ -s "${chemin_dst_uki}" ]]; then
echo "Copie de l'UKI 1 en 2..."
cp -v "${chemin_dst_uki}" "${chemin_base}${nom_uki2}"
fi

echo "Génération de l'image noyau combinée (UKI) numéro 1..."
objcopy \
--add-section .osrel="${chemin_lsb}" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \
--add-section .cmdline="${chemin_cmdline}" --change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \
--add-section .splash="${chemin_splash}" --change-section-vma .splash=$(printf 0x%x $splash_offs) \
--add-section .initrd="${chemin_initrd}" --change-section-vma .initrd=$(printf 0x%x $initrd_offs) \
--add-section .linux="${chemin_noyau}" --change-section-vma .linux=$(printf 0x%x $linux_offs) \
"${chemin_stub}" "${chemin_dst_uki}"

# Signature de l'UKI pour la vérification Secure Boot seulement si la clé et son certificat son présents
if [[ -r "${chemin_sb_clef}" && -r "${chemin_sb_cert}" ]]; then
sbsign --key "${chemin_sb_clef}" --cert "${chemin_sb_cert}" --output "${chemin_dst_uki}" "${chemin_dst_uki}"
sbverify --cert "${chemin_sb_cert}" "${chemin_dst_uki}"
fi
</syntaxhighlight>

Les [[Paramètres linux|paramètres]] du noyau (de la variable <code>$chemin_cmdline</code>) doivent contenir les informations sur votre système de fichier racine afin que ''Linux'' puisse l'amorcer. Vous pouvez vous appuyer sur l'exemple ci-dessous qui comprend une partition chiffrée contenant un sous-volume ''BTRFS''.

<syntaxhighlight lang="bash">
echo "root=UUID=${uuid_racine} cryptdevice=UUID=${uuid_luks} ro rootflags=subvol=@rootfs console=tty0 console=ttyS0,115200n8" > /mnt/etc/kernel/cmdline
</syntaxhighlight>

Pensez bien entendu à remplacer les variables par vos propres valeurs...

Vous pouvez également vous appuyer sur le <code>/proc/cmdline</code> pour visualiser les paramètres utilisés par votre propre système afin de vous en inspirer. La liste des paramètres possible est visualisable dans la [https://www.kernel.org/doc/html/v6.5/admin-guide/kernel-parameters.html documentation] du noyau.

chmod u+x /usr/local/sbin/gen-uki

==Automatisation==
Le script ainsi créé peut être lancé manuellement mais il est préférable qu'il soit appelé à chaque mise à jour de noyau ou d{{'}}''initrd'' afin de garantir un démarrage sur la dernière version disponible. Cette dépendance se créée en l'exposant dans le répertoire de post-construction de l{{'}}''initrd'' (<code>/etc/initramfs/post-update.d/</code>). Il n'est pas souhaitable (voir balise "info" ci-après) de spécifier d'actions dans <code>/etc/kernel/postinst.d/</code> puisque une installation ou une mise à jour du noyau exécute systématiquement une reconstruction de l{{'}}''initrd''.

{{info|Nous ne voulons pas générer un ''UKI'' depuis la phase post-installation du noyau pour deux raisons :
* le paramètre <code>$2</code> envoyé au script est égale au chemin absolut du nouveau noyau et non de l{{'}}''initrd''. Cela a pour effet de générer un ''UKI'' contenant deux fois le noyau et aucune fois l{{'}}''initrd'' (corrompu de fait)
* dans la mesure où <code>dpkg</code> exécute à la fois les scripts des répertoires <code>/etc/initramfs/post-update.d/</code> et <code>/etc/kernel/postinst.d/</code>, deux roulements d{{'}}''UKI'' (dont un corrompu) s'effectuerait, ce qui n'a aucun sens et n'est clairement pas souhaitable car deux images sur trois sont alors issues de la même mise à jour}}

mkdir -p /etc/initramfs/post-update.d
ln -s /usr/local/sbin/gen-uki /etc/initramfs/post-update.d/zz-gen-uki
chmod u+x /etc/initramfs/post-update.d/zz-gen-uki

{{info|Le répertoire <code>/etc/initramfs/post-update.d</code> n'est pas créé par défaut dans ''GNU/Linux Debian'' mais est bien parcouru lors de la génération d'une nouvelle archive d{{'}}''init''.}}

==Création des entrées de démarrage==
Dans l'optique d'optimiser au mieux le démarrage de notre machine, nous n'utiliserons aucun chargeur d'amorçage. Nous créerons alors des entrées de démarrage dans notre ''UEFI'' pointant directement sur nos ''UKI'' (son menu nous permettra de sélectionner la version à lancer). Pour se faire, il est possible de passer par l'interface de celui-ci (lorsque l'option est disponible) ou via l'outil [[Efibootmgr]] (universel). Voici un exemple pour les trois générées par le script (il est possible de créer les entrées avant les images) :

<syntaxhighlight lang="bash">
disque_systeme=/dev/nvme0n1

efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\1-debian.efi' -L "Debian UKI 1"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\2-debian.efi' -L "Debian UKI 2"
efibootmgr -c -d "${disque_systeme}" -p 1 -l '\EFI\Linux\3-debian.efi' -L "Debian UKI 3"
</syntaxhighlight>

Ainsi, dans le cas malencontreux où une mise à jour de noyau ou une reconstruction d{{'}}''initrd'' occasionne une impossibilité à démarrer, les versions précédentes de votre image vous permettront de vous en sortir.

==Sources de la section==
* https://uapi-group.org/specifications/specs/unified_kernel_image/
* https://0pointer.de/blog/brave-new-trusted-boot-world.html
* https://wiki.debian.org/EFIStub#Setting_up_a_Unified_Kernel_Image

=Secure Boot=

{{info|Cette section est facultative.}}

''Secure Boot'' ([https://uefi.org/sites/default/files/resources/UEFI_Spec_2_3_1.pdf chapitre 27] des spécification ''UEFI'') est une fonctionnalité apparue avec la version 2.3.1 de l{{'}}''UEFI'' permettant de borner l'amorçage aux seuls systèmes dont la signature cryptographique est reconnue par sa base interne. Son intérêt principal est d'empêcher l'exécution de code ayant été ajouté à l{{'}}''UEFI PE'' à l'insu de l'administrateur de la machine mais il peut également servir, entre-autre, à empêcher tout autre système (amorçage ''USB'' par exemple) de démarrer.

Afin que cette fonction ai un sens, il est préférable de n'autoriser que vos propres clés. Ceci n'est malheureusement pas possible sur la plupart des ''PC'' du marcher. En effet, les ''UEFI'' des machines grand publique embarquent celles de ''Microsoft'' pour le démarrage de ''Windows'' (obligatoire pour bénéficier de la certification idoine) et elles ne proposent pas (dans toutes celles que j'ai vu) de fonction pour gérer la base interne de clés (elles ne proposent bien souvent même pas d'administrer les entrées de démarrage...). Il est peut-être possible de contourner cette limitation avec l'outil <code>mokutil</code> mais je n'ai pas creusé cette piste... La problématique des clés ''Microsoft'' est bien entendu que leur présence rend caduc l'exclusivité de la validité de vos signatures. Qui peut utiliser leur clé ? L'administration de ce paramètre semble donc réservée aux ordinateurs professionnels (les ''DELL XPS'' le permettent) et aux plateformes serveurs.

Il convient en outre de s'assurer qu'aucun accès physique non autorisé à la machine n'a lieu car les gros malins qui ont rédigés les spécifications de l{{'}}''UEFI'' n'ont pas crus bon d'imposer le stockage de sa configuration en mémoire morte... L'utilisation d'une mémoire vive maintenue par une pile comme sur l'antique ''BIOS'' ayant retenu leur préférence, le débranchement de cette dernière engendrera une réinitialisation complète des paramètres et de la base de clés ''Secure Boot'' (permettant ainsi l'introduction de toute forme de charges utiles au démarrage). Ceci aura donc pour effet de ruiner la mince barrière de sécurité que nous venons de mettre en place...

Enfin, un mot de passe d'accès aux paramètres de l{{'}}''UEFI'' reste tout de même une pratique à suivre afin de vous assurer qu'aucune injection de clé non autorisée n'ai lieu. Dans le cas d'une réinitialisation par débranchement de la pile, vous saurez au moins qu'une action physique a été opérée sur la machine et pourrez entreprendre les mesures qui s'imposent (à commencer par ne surtout pas taper votre phrase de passe [[Cryptsetup|LUKS]] !). Vous pourrez par la suite vérifier la signature de votre ''UKI'' via un autre système pour s'assurer de son intégrité (pensez également à vérifier la présence d'enregistreurs de frappes [https://www.youtube.com/watch?v=AMzv6ymmUcw matériels]).

==Glossaire==
La base de clés de ''Secure Boot'' comporte cinq [https://www.malekal.com/quest-ce-que-secure-boot-protection-pc-uefi-comment-ca-marche/ sections] :
* '''MOK''' (''Machine Owner Key'') : base de données contenant les clés de l'utilisateur - inutile pour cette procédure
* '''PK''' (''Plateform Key'') : base de données contenant les clés de la machine - utile pour cette procédure
* '''DB''' (''Data Base'') : base de données des clés autorisées (liste blanche) - utile pour cette procédure
* '''KEK''' (''Key Exchange Keys'') : aucune idée - inutile pour cette procédure
* '''DBX''' : (''Data Base'' <introuvable dans les specs mais probablement ''Exclusion''>) : base de données des clés interdites (liste noire) - inutile pour cette procédure

==Génération de clés==
Création du répertoire de travail
mkdir -p /usr/local/lib/secureboot/mok

Génération d'une clé privée ''RSA'' 4096 bits (le maximum possible avec ''Shim'' - que nous n'utilisons pas - est, aux dernières nouvelles ([https://wiki.debian.org/SecureBoot#Generating_a_new_key 21/06/2022]) 2048 bits) et d'un certificat public associé
openssl req -nodes -new -x509 -newkey rsa:4096 -keyout /usr/local/lib/secureboot/mok/MOK.priv -outform DER -out /usr/local/lib/secureboot/mok/MOK.der -days 36500 -subj "/CN=Mon Nom/"

Conversion du certificat en ''PEM'' afin d'être utilisable par <code>sbsign</code>
openssl x509 -inform der -in /usr/local/lib/secureboot/mok/MOK.der -out /usr/local/lib/secureboot/mok/MOK.pem

Empêcher la lecture de ces fichiers par un autre utilisateur que root
chmod 400 /usr/local/lib/secureboot/mok/{MOK.priv,MOK.der,MOK.pem}

Les étapes qui suivent sont réalisées automatiquement par le script créé plus haut et sont notées à titre indicatif.

Le certificat au format ''PEM'' est utilisé par les commandes du paquet <code>sbsigntool</code> alors que la ''DER'' est utilisée par les ''UEFI'' (pourquoi utiliser le même format hein ?). il doit être renseignée deux fois dans les menus de gestion des clés de votre carte mère :
* une fois dans ''Plateform Key'' (''PK'')
* l'autre dans ''DB'' (''Authorized Signatures'')

Le certificat ''DER'' doit être accessible à l{{'}}''UEFI'' pour injection. Vous pouvez le mettre dans toute partition ''FAT'' comme votre ''ESP'' <code>/boot/efi/EFI/</code> ou sur une clé ''USB'' afin de l'y sélectionner depuis le menu dédié (peut être supprimé à l'issue).

==Signature de l'image==
Dans la commande qui suit, la signature de l'image va réécrir par dessus l'originale (sa somme de contrôle va changer). Ce comportement est volontaire mais peut être changé en modifiant la valeur de <code>--output</code>
sbsign --key /usr/local/lib/secureboot/mok/MOK.priv --cert /usr/local/lib/secureboot/mok/MOK.pem --output /boot/efi/EFI/Linux/1-debian.efi /boot/efi/EFI/Linux/1-debian.efi

Vérification de la signature
sbverify --cert /usr/local/lib/secureboot/mok/MOK.pem /boot/efi/EFI/Linux/1-debian.efi

Une fois ''Secure Boot'' activé et votre système démarré, vous pouvez vérifier l'effectivité de cette fonctionnalité via la commande suivante du paquet <code>mokutil</code>
mokutil --sb-state

{{astuce|La signature d'un module noyau complilé par vous même peut se faire via la commande suivante (exemple pour le pilote <code>ixgbe</code>) : <code>/usr/lib/linux-kbuild-6.1/scripts/sign-file sha512 /usr/local/lib/secureboot/mok/MOK.{priv,der} /lib/modules/6.1.0-17-amd64/updates/drivers/net/ethernet/intel/ixgbe/ixgbe.ko /tmp/ixgbe.ko</code>.}}

==Sources de la section==
* https://uefi.org/specifications
* https://wiki.debian.org/SecureBoot#Generating_a_new_key
* https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

Firefox

2024-08-01T20:23:35Z

Ycharbi : Ajout de la section "Désactiver précédent et suivant au trackpad"

[[Category:navigateurs web]]

=Activer la gestion du tactile=
Comme beaucoup de fonctions dans Firefox, la gestion des écrans tactile n'est pas activée par défaut dans nombre d’environnements (c'est le cas de Debian). Pour l'activer, il faut définir une variable d'environnement et activer l'option dans la section dédiée de Firefox.

==Définir la variable d'environnement==
echo 'MOZ_USE_XINPUT2=1' >> /etc/environment

La modification prend effet au redémarrage. Il est possible de lancer Firefox avec la définition de cette variable manuellement via le terminal en attendant: <code>MOZ_USE_XINPUT2=1 firefox</code>.

==Activation de l'option dans Firefox==

Il faut se rendre dans <code>about:config</code> et mettre le paramètre '''dom.w3c_touch_events.enabled''' à '''1'''. La modification est active instantanément. Vous pouvez profiter du défilement, de la sélection et du zoom au doigt.

==Source de la section==
* https://support.mozilla.org/es/questions/1091627

=Utiliser Wayland=
Il est possible d'utiliser ''Firefox'' avec [[Wayland]] en définissant la [https://www.reddit.com/r/firefox/comments/c8itj2/enabling_wayland_on_linux/ variable d'environnement] <code>MOZ_ENABLE_WAYLAND=1</code> dans <code>/etc/environment</code>. Un redémarrage du programme est nécessaire et il faut s'assurer que la variable est bien définie lors de son lancement (le plus simple est de redémarrer le système).

=Désactiver le détachement d'un onglet=
Une fonctionne ultra casse couilles avec Firefox c'est bien le [https://www.askvg.com/firefox-tip-disable-tabs-drag-n-drop-feature-to-move-to-new-window/ glisser/déposer d'un onglet] qui en fait une nouvelle fenêtre. Juste insupportable. Pour désactiver cette merde, il faut passer la valeur <code>browser.tabs.allowTabDetach</code> à '''false'''.

=Restaurer la fenêtre de téléchargement=
Avec Firefox 98 (et comme avec chaque nouvelle version), une fonctionnalité indispensable a été supprimée : la possibilité d'ouvrir un fichier sans l'enregistrer quelque part sur le disque (il va simplement dans le <code>/tmp</code>). Pour restaurer ce comportement, il faut passer la valeur <code>browser.download.improvements_to_download_panel</code> à <code>false</code> dans le <code>about:config</code>.

=Forcer l'usage du presse papier=
Certains sites ''WEB'' se croient malins en interdisant l'utilisation du copier/coller dans les formulaires (réinitialisation de mots de passe par exemple). Cette pratique, en plus d'être une atteinte à notre liberté d'utiliser nos outils informatiques comme nous l'entendons, nous empêche de gérer nos [[Génération de mots de passe|mots de passe]] à notre guise (la meilleur clé est celle que vous ne connaissez pas et donc que vous ne pouvez pas taper dans un champ de formulaire...). Comme souvent, sous couvert de sécurité, le résultat est l'exact opposé. Aux développeurs ''WEB'' : laissez-nous gérer nos outils informatiques comme nous l'entendons, nous sommes bien plus à même de savoir ce qui est bon pour nous que vous !

Pour dire à ''Firefox'' de ne pas respecter le ''Javascript'' qui lui dit d'adopter un comportement aussi débile, il faut passer la [https://www.howtogeek.com/251807/how-to-enable-pasting-text-on-sites-that-block-it/ valeur] <code>about:config</code>dom.event.clipboardevents.enabled</code> à '''false'''.

Vous pouvez alors de nouveau de vous prendre pour un [https://fr.wikipedia.org/wiki/Pasteur_(christianisme) pasteur] en usant de ''copy/paste'' !

{{attention|La désactivation de cette fonction empêche le [https://github.com/element-hq/element-web/issues/25695 collage de textes] dans le champ de discutions de [[Matrix_synapse#Client_WEB_Element|element-web]] (un <code>ctrl+v</code> n'a donc plus aucun effet).}}

=Désactiver le rafraîchissement automatique=
Certains sites non respectueux de leurs utilisateurs (les sites de presse en tête), utilisent du ''Javascript'' pour rafraîchir automatiquement les pages de leur site (probablement pour générer du revenu avec la publicité).
Cette pratique, outre le fait de consommer de la bande passante et du ''CPU'' (donc de l'électricité), engendre un comportement non désiré et inattendu de l'utilisateur (seul maître légitime de son ordinateur).

Pour faire cesser ça, il faut initier la clé <code>accessibility.blockautorefresh</code> à ''true'' dans <code>about:config</code>.

=Désactiver la géolocalisation=
Certains sites envoient une requête au navigateur afin de demander d'activer la géolocalisation. Cela se matérialise dans ''Firefox'' par un popup au niveau de la barre d'adresse qui masque une partie du site (pénible). Calqué sur le modèle de celui demandant d'enregistrer un mot de passe, celui-ci n'est pas désactivable dans les paramètres (cela doit être trop difficile à coder pour ''Mozilla''...). Cela se fait donc via les habituels paramètres avancés de <code>about:config</code>, en [https://whatismyipaddress.com/enabling-and-disabling-geolocation-on-your-browser#h-firefox passant] <code>geo.enabled</code> à <code>false</code>.

=Désactiver précédent et suivant au trackpad=
Autre réelle mauvaise idée de ce navigateur, la fonctionnalité précédent et suivant via des gestes latéraux avec un trackpad. Mise à part réaliser des actions involontaires pouvant êtres, au mieux, ultra désagréables en rechargeant les pages et au pire, dangereusement catastrophique en fonction des cas (quitter une page avant la fin d'une opération est rarement sans conséquence dans le traitement...), il m'apparaît de l'ordre du bon sens de désactiver cette aberration qui n'aurait jamais dû voir le jour.

Via <code>about:config</code>, [https://superuser.com/questions/1270620/how-do-i-disable-option-swipe-navigating-history-forward-and-back-in-firefox#answer-1850606 vider les champs] <code>browser.gesture.swipe.left</code> et <code>browser.gesture.swipe.right</code> (le bouton de réinitialisation permet de restaurer les valeurs par défaut si vous avez l'idée saugrenue de vouloir revenir en arrière).

Sysfs

2024-07-07T18:09:13Z

Ycharbi : Ajout de la section "Interroger les sondes de température"

[[Category:Pseudo systèmes de fichiers]]

=Savoir si on a démarré en UEFI=
Un système ayant démarré en ''UEFI'' permet une interaction avec celui-ci via un ensemble de variables accessibles dans <syntaxhighlight lang="bash" inline>/sys</syntaxhighlight>.

On vérifiera donc le type de micro-logiciel nous ayant permis de démarrer via la commande suivante :
ls /sys/firmware/efi/efivars/

Bien sûr, le retour de cette commande n'est pas bon si nous sommes en ''BIOS''.

==Source de la section==
* https://unix.stackexchange.com/questions/148356/how-to-know-if-im-booting-using-uefi

=Ajuster la luminosité de l'écran=
Afficher la luminosité actuelle
cat /sys/class/backlight/intel_backlight/brightness

La modifier
echo 500 > /sys/class/backlight/intel_backlight/brightness

==Source de la section==
* https://unix.stackexchange.com/questions/192853/how-to-set-the-monitor-brightness-gracefully-at-boot-time

=Interroger les sondes de température=
Il est possible d'afficher la température mesurée par les sondes de votre machine sans installer d'[https://phoenixnap.com/kb/linux-cpu-temp#ftoc-heading-5 outils tiers]. Ces informations sont contenues dans les fichiers de la section <code>thermal</code> de <code>sysfs</code>.
cat /sys/class/thermal/thermal_zone*/temp | column -s $'\t' -t | sed 's/$.$..$/.\1°C/'

Letsencrypt

2024-07-07T17:53:47Z

Ycharbi : /* Automatisation de la tâche */ Correction du service appelé par le minuteur afin qu'il dépende de lui

[[Category:X.509]]

[https://fr.wikipedia.org/wiki/Let%27s_Encrypt Letsencrypt] est une [https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification autorité de certification] lancée le 3 décembre 2015 (Bêta Version Publique). Elle permet de générer des certificats [[:Category:X.509|X.509]] gratuitement et sans limite de nombre.

C'est un service fourni par l{{'}}''Internet Security Research Group'' (''ISRG''). Les mécènes principaux sont l{{'}}''Electronic Frontier Foundation'' (''EFF''), la Fondation ''Mozilla'', ''Akamai'', ''Cisco Systems'' , ''PlanetHoster'' et ''OVH''. D'autres partenaires, tels que l'autorité de certification ''IdenTrust'', l'Université du Michigan (''U-M''), la ''Stanford Law School'', la Fondation ''Linux'', l'entreprise ''Free10'', ainsi que ''Stephen Kent'' de ''Raytheon / BBN Technologies'' et ''Alex Polvi'' de ''CoreOS'' sont également impliqués dans le projet. Bref c'est un truc sérieux et cela représente tout de même 51,21% des certificats ''TLS'' en avril 2018 d'après ''NetTrack''.

L{{'}}autorité de certification se base sur le protocole ''Automatic Certificate Management Environment'' (''ACME'' ou "environnement de gestion automatique de certificat") permettant l{{'}}automatisation des échanges entre les autorités de certification et les administrateurs de serveurs, rendant ainsi possible le déploiement automatisé d’une infrastructure à clé publique à très bas coût. Plusieurs implémentations de ce protocole existent.

=ACME.sh=
[https://github.com/acmesh-official/acme.sh ACME.sh] est une implémentation libre (''GPL v3.0'') du protocole idoine écrite en [[Script bash|langage Shell]]. Elle a le gros avantage d'être très légère en déploiement et en usage. Cet outil fonctionne avec un seul script (ses dépendances se trouvent dans le répertoire livré avec) et s'utilise en une seule commande sans rien installer.

==Usage==
Téléchargement de l'outil
export VERSION_ACME="3.0.4"
wget https://github.com/acmesh-official/acme.sh/archive/refs/tags/"${VERSION_ACME}".tar.gz -qO - | tar -xvz -C /tmp/ && cp -av /tmp/acme.sh-"${VERSION_ACME}" /opt/
ln -vs /opt/acme.sh-"${VERSION_ACME}" /opt/acme.sh

Afin de ne pas nécessiter d'intervention manuelle, il est possible de créer une clé ''API'' auprès de nombreux [https://github.com/acmesh-official/acme.sh/wiki/dnsapi registres DNS]. Celle-ci permet au logiciel d'ajouter automatiquement un champ ''TXT'' servant à authentifier la légitimité de la requête.

Génération d'un certificat simple

<syntaxhighlight lang="bash">
GANDI_LIVEDNS_KEY="INSEREZ_VOTRE_CLEF_API" /opt/acme.sh/acme.sh --issue --server letsencrypt --keylength ec-384 -d test.ycharbi.fr --dns dns_gandi_livedns --force
</syntaxhighlight>

{{info|Un répertoire <syntaxhighlight lang="bash" inline>~/.acme.sh/</syntaxhighlight> est automatiquement créé et contiendra l'ensemble des certificats et clés gérés. Pensez à y faire un ménage régulier car les certificats générés ne sont valides que 3 mois. La régénération d'un certificat pour un même ''FQDN'' remplace le précédent.}}

Vous pouvez afficher le contenu de vos certificats (notamment la validité) via la commande
openssl x509 -noout -text -in ~/.acme.sh/test.ycharbi.fr_ecc/fullchain.cer

==Automatisation==
Dans la mesure où les certificats ont une validité de 3 mois et au vu de l’importance de les maintenir à jour, il est recommandé d'automatiser leur renouvellement. Voici un script permettant de générer un certificat valide pour tous les sous-domaines (joker) de ''ycharbi.fr''. Le résultat est mis, tant en forme qu'à disposition de [[Haproxy|HAProxy]] avant un rechargement de son service.

{{attention|La méthode pour renseigner la clé ''API'' peut varier d'un registre à un autre. référez-vous à la [https://github.com/acmesh-official/acme.sh/wiki/dnsapi documentation] pour adapter le script à votre fournisseur. L'exemple ci-dessous est valide pour les ''DNS'' de [https://gandi.net Gandi].}}

===Script de génération===
<syntaxhighlight lang="php">
cat << '_EOF_' > /usr/local/sbin/genX509.sh
#!/bin/bash

CLEF_API_DNS="INSEREZ_VOTRE_CLEF_API"
DOMAINE="ycharbi.fr"
CHEMIN_DST="/root/letsencrypt/"
HAPROXY_TLS_DST="/etc/haproxy/tls/"

mkdir -p /"${CHEMIN_DST}"/"${DOMAINE}"/

GANDI_LIVEDNS_KEY="${CLEF_API_DNS}" /opt/acme.sh/acme.sh --issue --server letsencrypt --keylength ec-384 -d "*.${DOMAINE}" --dns dns_gandi_livedns --cert-file /root/letsencrypt/"${DOMAINE}"/"${DOMAINE}".crt --key-file /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}".key --fullchain-file /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}"-full.crt --force --reloadcmd "cat /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}"-full.crt /"${CHEMIN_DST}"/"${DOMAINE}"/"${DOMAINE}".key > /"${HAPROXY_TLS_DST}"/"${DOMAINE}".pem && systemctl reload haproxy.service"
_EOF_
</syntaxhighlight>

chmod +x /usr/local/sbin/genX509.sh

{{info|En précisant la destination des fichiers à générer, ceux-ci se trouveront à la fois dans le répertoire voulu ainsi que dans le <syntaxhighlight lang="bash" inline>~/.acme.sh/</syntaxhighlight> de d'habitude.}}

===Automatisation de la tâche===
Afin d'exécuter le script automatiquement, divers outils peuvent êtres utilisés comme [[Cron]] ou les [[Minuteur - systemd|minuteurs Systemd]]. Je recommande cette dernière solution pour des raisons de fiabilité et de facilité de supervision.

mkdir -p /usr/local/etc/systemd/system

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/genX509.service
[Unit]
Description=Génération du certificat joker pour les sous-domaines d'ycharbi.fr
After=network.target

[Service]
Type=oneshot
ExecStart=genX509.sh
RemainAfterExit=no
_EOF_
</syntaxhighlight>

<syntaxhighlight lang="ini">
cat << _EOF_ > /usr/local/etc/systemd/system/genX509.timer
[Unit]
Description=Exécution mensuelle de la génération du certificat joker pour les sous-domaines d'ycharbi.fr

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target
_EOF_
</syntaxhighlight>

ln -s /usr/local/etc/systemd/system/genX509.service /etc/systemd/system/
ln -s /usr/local/etc/systemd/system/genX509.timer /etc/systemd/system/

systemctl daemon-reload

systemctl enable genX509.timer
systemctl start genX509.timer

Les informations sur la prochaine exécution sont visualisables avec la commande
systemctl status genX509.timer

=Certbot=
Cette section traite de l'outil historique bien trop lourd à mon goût. Je ne l'utilise plus car il impose trop de contraintes et peut être remplacé sans difficultés par plus simple. Ne sera abordé que la génération de certificats sans la partie automatisation.

==Génération de certificats==
Il existe différents modes de génération de certificats. Voici ceux que j'utilise avec l'outil ''certbot''.

===Mode autonome===
Ce mode permet de récupérer un certificat signé directement sur une machine proposant un service WEB (les commande seront à effectuées sur la machine répondant au domaine).

{{attention|Cette méthode installe tout un tas de bordel sur la machine dont un serveur [[Apache]]. Pour ma part, je lance une machine dédiée (un [[Squashfs]] dans mon cas), qui se chargera de la génération des certificats que je récupèrent et transferts sur la machine de destination (opération lourde destinée principalement à des tests).}}

====Installation====
apt install python-certbot-apache

====Génération====
Il faut que le domaine à signé dirige les requêtes vers l'adresse IP de la machine ''certbot'' sinon l'erreur 503 renvoyé par celui-ci et interrompra la procédure.

{{astuce|Il est possible d'automatiser le remplissage du nom de domaine lié au certificat à générer si le paramètre "ServerName domaine.ycharbi.fr" est ajouté dans un vHost. La procédure de création d'un vHost HTTPS par ''certbot'' sera donc automatique (sinon il demande de taper le numéro correspondant au vHost affiché dans la liste qu'il a généré en regardant dans le répertoire ''sites-availables'').}}

'''Génération de certificat pour tube.ycharbi.fr'''
certbot --authenticator standalone --installer apache -d tube.ycharbi.fr --pre-hook "service apache2 stop" --post-hook "service apache2 start"

{{info|Il va demander une adresse e-mail qui servira à prévenir de l'expiration imminente du certificat.}}

Le résultat est stocké dans ces emplacements:
* '''Clé publique/certificat:''' /etc/letsencrypt/live/tube.ycharbi.fr/fullchain.pem
* '''Clé privé:''' /etc/letsencrypt/live/tube.ycharbi.fr/privkey.pem

Il est bien sûr possible d'en faire un certificat chaîné pour certaines applications comme [[Haproxy]] par exemple:
cat /etc/letsencrypt/live/tube.ycharbi.fr/fullchain.pem /etc/letsencrypt/live/tube.ycharbi.fr/privkey.pem > /etc/ssl/tube.ycharbi.fr.pem

====Source de la section====
* https://community.letsencrypt.org/t/solution-client-with-the-currently-selected-authenticator-does-not-support-any-combination-of-challenges-that-will-satisfy-the-ca/49983

===Mode manuel===
Cette méthode permet de générer des certificat joker (''wildcard''). Selon moi, elle est beaucoup plus propre et n'installe pas tout un tas de paquets sur la machine. Elle peut être utilisée depuis une machine qui n'héberge aucun services (je l'utilise personnellement depuis mon proxy inverse).

====Installation====
apt install certbot

====Génération====
certbot certonly --rsa-key-size 4096 --server https://acme-v02.api.letsencrypt.org/directory --manual -d '*.ycharbi.fr'

Il va poser une chiée de question et donner le nom et la valeur d'un champ TXT DNS à entrer dans la zone du domaine à signé (il s'agit d'une clé d'authentification pour le protocole ACMEv2). Une fois ce champ renseigné et appliqué dans la zone DNS, faire <syntaxhighlight lang="bash" inline><entrer></syntaxhighlight> au prompte pour récupérer le certificat ainsi que sa clef privée (disponibles dans <syntaxhighlight lang="bash" inline>/etc/letsencrypt/archive/ycharbi.fr</syntaxhighlight>).

====Sources de la section====
* https://blog.blaisot.org/letsencrypt-wildcard-part1.html
* https://wiki.dureuil.info/doku.php/linux:cert-ssl-letsencrypt-wildcard-api-gandi-livedns

Firefox

2024-07-07T08:01:58Z

Ycharbi : Ajout de la section "Désactiver la géolocalisation"

Lacp - cisco

2024-05-18T11:25:07Z

Ycharbi : /* Configuration */ Ajout d'une précision dans le cas d'une erreurs de protocole

[[Category:cisco]]
[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad] (''Link Aggregation Control Protocol'' ou ''LACP'') est un protocole de niveau 2 du modèle ''OSI'' qui permet de grouper plusieurs ports physiques en une seule voie logique.

Nous allons donc utiliser 2 interfaces sur un commutateur Cisco 2960 pour en faire une logique afin de bénéficier d'une plus grande bande passante (uniquement dans le cas d'accès concurrents et en fonction de la configuration des serveurs) ainsi que de la résilience de panne.

{{attention|Cette technique ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Un seul client ne pourra alors pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. ce caractéristique est personnalisable à la marge en fonction de l’algorithme de hachage utilisé par la machine émettant le trafic (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy] sous les ponts ''Linux'' et en particulier ''layer3+4'').}}

=Configuration=

<syntaxhighlight lang="bash">
conf t
# Création de l'interface d'agrégat
interface port-channel 1
# Sur certains commutateurs de niveau 3, il faut préciser que l'on va faire du niveau 2
switchport
# Il est possible de préciser que l'interface est en trunk mais cela est facultatif. Seul la configuration des interfaces membres importe

# Configuration des interfaces membres de l'agrégat
interface range fa 0/1 - 2
description --- LACP vers Commut2 ---
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active

# Dans le cas de certaines erreurs de protocole, l'agrégat peut se bloquer (un comble)
# Pour le débloquer automatiquement, la commande suivante peut être utilisée
errdisable recovery cause channel-misconfig
# L'intervalle de restauration après erreur peut être définit comme suit
errdisable recovery interval 60
</syntaxhighlight>

=Source=
*http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/feature/guide/gigeth.html

Agrégation de liens - linux

2024-05-18T08:48:15Z

Ycharbi : Ajout d'une précision sur l'algorithme de hachage du LACP + remplacement de la balise source obsolète

[[Category:iproute2]]

Le noyau ''Linux'' propose de grouper plusieurs interfaces réseau en un agrégat régit par différents modes possibles. L'intérêt est bien souvent de bénéficier d'une haute disponibilité sur un lien mais certains modes peuvent apporter un accroissement de performances lors de cas de figures particuliers.

=Les modes de fonctionnements=
Les modes proposés, au nombre de 7, sont les suivants:
* '''Mode 0 (balance-rr)''': Aussi connu sous le nom de ''Round-robin'', ce mode permet de transmettre et recevoir les paquets séquentiellement un à un par chaque interface. Il en résulte un '''''équilibrage de la charge'''''.
* '''Mode 1 (active-backup)''' : Dans ce mode, une seule interface est active, tandis que toutes les autres sont en état de sauvegarde. Si l'interface active échoue, une de sauvegarde la remplace en tant que seule active dans la liaison. L'adresse de contrôle d'accès au support (''MAC'') de l'interface de liaison n'est visible que sur un seul port, ce qui évite toute confusion pour le commutateur. Ce mode offre une '''''tolérance aux pannes'''''.
* '''Mode 2 (balance-xor)''' : L'adresse ''MAC'' source utilise une logique exclusive (ou ''XOR'') avec l'adresse ''MAC'' de destination. Ce calcul garantit que la même interface esclave est sélectionnée pour chaque adresse ''MAC'' de destination. Ce mode assure la '''''tolérance aux pannes''''' et l''''''équilibrage de charge'''''.
* '''Mode 3 (broadcast)''' : Toutes les transmissions sont envoyées à tous les esclaves. Ce mode assure une '''''tolérance aux pannes'''''.
* '''Mode 4 (802.3ad)''' : Ce mode crée des groupes d'agrégation qui partagent les mêmes paramètres de vitesse et de mode de transmission ([Half-]duplex). Il nécessite un commutateur prenant en charge un lien dynamique ''[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad]'' (ou ''LACP''). Le lien qui en résulte permet d'exploiter la bande passante de chaque interface lors d'accès concurrents (cette notion sera abordé un peu [[#plus bas|plus bas]]). Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge'''''.
* '''Mode 5 (balance-tlb)''' : Ce mode garantit que la répartition du trafic sortant est définie en fonction de la charge sur chaque interface et que l'une d'elle reçoive tout le trafic entrant. Si elle n'en reçoit pas, une autre est alors assignée à ce rôle. Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge'''''.
* '''Mode 6 (balance-alb)''' : Les paquets reçus sont équilibrés par la négociation du protocole de résolution d'adresse (''ARP''). Il offre une '''''tolérance aux pannes''''' et un '''''équilibrage de charge''''' (ceci n'est pris en charge que dans les environnements ''x86'').

Quel que soit le mode choisi, les commandes utilisées seront les mêmes. Il faudra simplement spécifier ce choix par son numéro ou le mot clé qui y est associé (écrit entre parenthèses dans la liste ci-dessus).

Vous l'avez probablement remarqué mais le rôle de chacun d'entre eux est plutôt redondant. Honnêtement je n'ai jamais vu autre chose que le mode 4 en condition réelles et je me demande bien à quoi servent les autres. Je pense qu'historiquement ils étaient là avant l'invention du ''LACP'' et qu'ils ont permis (par de sacrés bidouilles) de répondre à un besoin maintenant normé. Leur existence actuelle est probablement dû à un désir de conservation de méthodes ingénieuses qui ont fait leurs preuves par le passer.

{{info|Dans le cas du mode 4 (''LACP''), il est également possible de préciser l’algorithme de hachage utilisé par la liaison (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy]. Ceci permet de spécifier le mode de distribution des trames lors d'accès concurrents par des clients vers plusieurs machines servies par LACP (la politique ''layer3+4'' permet d'utiliser 100% de la bande passante des liens composant le ''LACP'' dans certains cas). La valeur <code>layer2</code> est définit par défaut.}}

=Configuration d'un agrégat=
Afin de configurer un agrégat de liens sous un ''Linux'' récent, il faut les outils du paquet ''[[:Category:iproute2|iproute2]]'' installés sur votre machine.

==Exemple avec LACP==
Je vais présenter les commandes nécessaires à l'établissement d'un agrégat se basant le protocole ''IEEE 802.3ad''. Comme expliqué dans la documentation de celui-ci pour [[Lacp - cisco|Cisco IOS]], il est important de préciser que cette norme ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Ainsi, un seul client ne pourra pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. Ne vous attendez donc pas à avoir du 5gbps (en couplant 5 interfaces gigabits) lors d'un transfert avec un seul PC (relié en 10gbps). Ce n'est pas ce que permet le ''LACP'' (si c'est ce que vous voulez, tournez-vous plutôt vers le [[Multipath TCP]]).

La série de commandes qui suit utilise la notion de filtrage de ''VLAN'' exploité dans [[Vlan - linux|ce document]]. L'''IEEE 802.3ad'' peut donc tout à fait s'intégrer dans une configuration déjà existante pour peu que vous ayez suffisamment d'interfaces réseau sur votre machine.

<syntaxhighlight lang="bash">
# Création d'un pont gérant le 802.1Q
ip link add br0 type bridge vlan_filtering 1
ip link set br0 up

# Création de l'interface d'agrégat
ip link add bond0 type bond
ip link set bond0 type bond miimon 100 mode 4
# Pour préciser la fonction de hachage à utiliser :
# ip link set bond0 type bond miimon 100 mode 4 xmit_hash_policy layer3+4

# Ajout des interfaces physique à celui-ci
ip link set eth0 down
ip link set eth0 master bond0
ip link set eth1 down
ip link set eth1 master bond0
ip link set bond0 up

# Ajout de l'agrégat au pont
ip link set bond0 master br0

# Suppression du VLAN par défaut
bridge vlan del dev br0 vid 1 self
bridge vlan del dev bond0 vid 1 master

# Ajout de VLAN au trunk transporté par l'agrégat
bridge vlan add dev br0 vid 180 tagged self
bridge vlan add dev br0 vid 181 tagged self
bridge vlan add dev bond0 vid 180 tagged master
bridge vlan add dev bond0 vid 181 tagged master

# Création d'interfaces VLAN (SVI)
ip link add link br0 name vlan180 type vlan id 180
ip link set vlan180 up
ip address add 192.168.180.224/24 dev vlan180

ip link add link br0 name vlan181 type vlan id 181
ip link set vlan181 up
ip address add 192.168.181.224/24 dev vlan181
</syntaxhighlight>

{{astuce|Pour les suppressions et les retraits d'interfaces, il faut utiliser les mots clés <code>del</code> et <code>nomaster</code> à la place de <code>add</code> et <code>master</code>.}}

{{info|Le paramètre <code>miimon 100</code> passé à la définition du type de l'interface <code>bond0</code> permet de spécifier la fréquence de surveillance de la liaison ''[http://jmainy.free.fr/guill.web-/Fea3.html MII]'' (''Medium Indepedant Interface'') en millisecondes. Cela détermine la fréquence à laquelle l'état du lien vers chaque esclave est inspecté pour détecter les défaillances de ceux-ci. Une valeur de zéro désactive la surveillance de la liaison ''MII''. Une valeur de 100 est une valeur standard. Source ''[https://www.linuxquestions.org/questions/linux-networking-3/mode%3D1-miimon%3D100-934723/ ici]'' et ''[https://www.tecmint.com/network-nic-bonding-teaming-in-debian-linux/ là]''.}}

=Sources=
* https://developer.rackspace.com/blog/lacp-bonding-and-linux-configuration/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/networking_guide/sec-using_channel_bonding
* https://developers.redhat.com/blog/2017/09/14/vlan-filter-support-on-bridge/

Lacp - cisco

2024-05-18T08:41:55Z

Ycharbi : Ajout d'une précision sur l'algorithme de hachage du LACP + remplacement de la balise source obsolète

[[Category:cisco]]
[https://fr.wikipedia.org/wiki/IEEE_802.3ad IEEE 802.3ad] (''Link Aggregation Control Protocol'' ou ''LACP'') est un protocole de niveau 2 du modèle ''OSI'' qui permet de grouper plusieurs ports physiques en une seule voie logique.

Nous allons donc utiliser 2 interfaces sur un commutateur Cisco 2960 pour en faire une logique afin de bénéficier d'une plus grande bande passante (uniquement dans le cas d'accès concurrents et en fonction de la configuration des serveurs) ainsi que de la résilience de panne.

{{attention|Cette technique ne permet pas d'avoir un tuyau égale à la somme des bandes passantes des liens qui le compose. Le ''LACP'' permet de répartir les transferts sur les interfaces qui en font parti. Un seul client ne pourra alors pas bénéficier de plus de la capacité d'un lien mais plusieurs clients pourront chacun utiliser la bande passante d'une interface et donc ne pas se saturer l'un l'autre. ce caractéristique est personnalisable à la marge en fonction de l’algorithme de hachage utilisé par la machine émettant le trafic (voir [https://www.kernel.org/doc/html/latest/networking/bonding.html xmit_hash_policy] sous les ponts ''Linux'' et en particulier ''layer3+4'').}}

=Configuration=

<syntaxhighlight lang="bash">
conf t
# Création de l'interface d'agrégat
interface port-channel 1
# Sur certains commutateurs de niveau 3, il faut préciser que l'on va faire du niveau 2
switchport
# Il est possible de préciser que l'interface est en trunk mais cela est facultatif. Seul la configuration des interfaces membres importe

# Configuration des interfaces membres de l'agrégat
interface range fa 0/1 - 2
description --- LACP vers Commut2 ---
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
</syntaxhighlight>

=Source=
*http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/feature/guide/gigeth.html

Ffmpeg

2024-05-15T21:36:45Z

Ycharbi : Ajout de la section "Rotation d'une vidéo" + remplacement d'une balise "syntaxhighlight inline" par une balise "code"

[[Category:linux]]
[https://fr.wikipedia.org/wiki/FFmpeg FFmpeg] est une collection de logiciels libres destinés au traitement de flux audio ou vidéo (enregistrement, lecture ou conversion d'un format à un autre). Cette bibliothèque est utilisée par de nombreux autres logiciels ou services comme ''VLC'', ''iTunes'' ou ''YouTube''.

Développé sur ''GNU/Linux'', ''FFmpeg'' peut être compilé sur la plupart des systèmes d'exploitation, y compris [[:Category:Windows|Windows]]. Le projet est distribué sous licence libre, [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_GNU GPL] 2+ ou [https://fr.wikipedia.org/wiki/Licence_publique_g%C3%A9n%C3%A9rale_limit%C3%A9e_GNU LGPL] 2.1+ en fonction des options de compilation du projet.

=Extraire le son=
Voici comment [http://www.loopsbeats.com/convert/extract-audio-with-ffmpeg.html extraire le son] d'une vidéo ''mp4'' en ''mp3'' :
ffmpeg -i toto.mp4 -vn -ar 44100 -ac 2 -ab 192 -f mp3 toto.mp3

=Extraire la jaquette=
Les fichiers audios embarquent souvent une image (communément la jaquette de l'album). Voici comment la [https://unix.stackexchange.com/questions/41287/how-to-extract-album-cover-image-from-mp3-file récupérer] :
ffmpeg -i fichier.mp3 -an -c:v copy fichier.jpg

=Couper un extrait=
Il est possible de [https://superuser.com/questions/138331/using-ffmpeg-to-cut-up-video#704118 découper un morceau] de fichier avec ceci :
ffmpeg -ss 00:00:53 -i Pas\ de\ manières-5hjNP5dNNs4.m4a -t 00:00:11 -c copy Ta_cherie.m4a

Explications :
* '''-ss''' : début de la découpe
* '''-i''' : fichier source
* '''-t''' : temps à garder à partir de '''-ss'''
* '''-c''' : action à effectuer

Il est aussi possible de préciser le nombre de trames à conserver à partir d'un temps donnée (plus précis) :
ffmpeg -y -ss 00:01:28 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 100 /tmp/titi.mp4

Paramètres différents :
* '''-c:v libx264''' : codec vidéo de transcodage (facultatif)
* '''-c:a aac''' : codec audio de transcodage (facultatif)
* '''-frames:v 100''' : garder 100 trames (le "v" peut être remplacé par un "a" en cas de fichier uniquement audio)

Dans le cas d'une vidéo comportant [https://stackoverflow.com/questions/60445661/ffmpeg-how-do-i-choose-the-correct-audio-track plusieurs] pistes audios, il est possible de sélectionner la désirée de la manière suivante :
ffmpeg -y -ss 00:27:26 -i Toto.mp4 -c:v libx264 -c:a aac -frames:v 530 -map 0:v:0 -map 0:a:2 /tmp/titi.mp4.mp4

Paramètres différents :
* '''-map 0:v:0''' : première piste vidéo
* '''-map 0:a:2''' : troisième piste audio

=Convertir un fichier=
Pour [https://fr.wikihow.com/utiliser-FFmpeg convertir un fichier] dans un autre format :
ffmpeg -i Ni_flic_ni_pd.ogg Ni_flic_ni_pd.mp3

''Note: L'outil détecte automatiquement le format du fichier voulu en lisant l'extension de destination.''

Il est possible d'ajouter des paramètres afin de préciser des [https://trac.ffmpeg.org/wiki/Encode/H.264 caractéristiques d'encodage]. [https://emirchouchane.com/h264-ffmpeg/ Par exemple], pour une conversion vidéo en ''h264'' :
ffmpeg -i vidéo.m4v -c:v libx264 -crf 23 vidéo.mp4

Explications :
* '''-c:v libx264''' : sélection du codec (''-c'') vidéo ('':v'') h264 (''libx264'')
* '''-crf 23''' : facteur de taux constant (''Constant Rate Factor'') à 23. Permet de définir le débit binaire de la vidéo

<img src="https://{{SERVERNAME}}/fichiers/multim%c3%a9dia/conversion/ffmpeg/%c3%89chelle_Constant_Rate_Factor.svg"></img>

Autre exemple avec une conversion en [https://trac.ffmpeg.org/wiki/Encode/H.265 h265] :
ffmpeg -i vidéo.mp4 -c:v libx265 -crf 26 -preset fast -c:a eac3 -b:a 640k /tmp/vidéo.mp4

* '''-c:v libx265''' : codec vidéo en ''h265''
* '''-preset fast''' : vitesse d'encodage et profile de compression (énumérés [https://trac.ffmpeg.org/wiki/Encode/H.265#ConstantRateFactorCRF ici])
* '''-c:a eac3''' : codec audio en ''eac3''
* '''-b:a 640k''' : débit binaire du flux audio

=Redimensionner une vidéo=
Outre le codec à utiliser et le ''CRF'' à modifier, il est possible d'alléger une vidéo en réduisant ses dimensions. Les différentes techniques combinées peuvent permettre d'arriver à envoyer péniblement une vidéo par [https://fr.wikipedia.org/wiki/Multimedia_Messaging_Service MMS]...
ffmpeg -y -i /tmp/a.mp4 -crf 33 -vf "scale=iw/2:ih/2" /tmp/b.mp4

Explications :
* '''-y''' : écrase la destination sans demander de confirmation
* '''-i''' : fichier source
* '''-crf 33''' : forte compression (destructrice) de la vidéo
* '''-vf "scale=iw/2:ih/2"''' : réduction par deux des dimensions de la vidéo

=Rotation d'une vidéo=
Il n'est pas rare de tomber sur une vidéo capturée via un téléphone en mode portrait du fait d'un utilisateur ayant commencé la prise de vue dans cette orientation et s’étant rendu compte, après coup, qu'il fallait tourner la caméra pour avoir un bon rendu... Il est possible de corriger cela via une [https://www.baeldung.com/linux/ffmpeg-rotate-video rotation] avec le paramètre <code>transpose=0</code> où <code>0</code> correspond à l'orientation à appliquer d'après la liste suivante :
* <code>0</code> : sens inverse des aiguilles d'une montre et inversion verticale (par défaut)
* <code>1</code> : sens des aiguilles d'une montre
* <code>2</code> : sens inverse des aiguilles d'une montre
* <code>3</code> : sens des aiguilles d'une montre et inversion verticale

Exemple :
ffmpeg -i VID_20240415_150506.mp4 -vf "transpose=2" VID_20240415_150506_r2.mp4

=Fusionner une bande vidéo et une bande son=
Il est possible de [https://qastack.fr/superuser/277642/how-to-merge-audio-and-video-file-in-ffmpeg regrouper] dans un même fichier multimédia ([https://fr.wikipedia.org/wiki/Format_conteneur conteneur]) une bande vidéo et une bande son. Un cas typique est le téléchargement d'une vidéo sur le site [https://crowdbunker.com crowdbunker.com] via les fichiers <code>.m3u</code> capturés dans le trafic réseau. La vidéo est découplé du son (deux téléchargements séparés) et c'est le lecteur vidéo ''WEB'' qui se charge de lire les deux en même temps. Pour fusionner les deux après téléchargement en local, la commande suivante peut être utilisée :
ffmpeg -i Vidéo_source.mp4 -i Audio_source.mp4 -c:v copy -c:a aac -strict experimental Vidéo_et_audio_destination.mp4

Chrony

2024-04-24T15:46:24Z

Ycharbi : Voir modifs

[[Category:Service_temps]]

[https://chrony-project.org Chrony] est, comme sont homologue [[Ntp - linux|éponyme]], une implémentation libre du protocole [https://fr.wikipedia.org/wiki/Network_Time_Protocol NTP] (Network Time Protocol). Il peut synchroniser l'horloge système avec d'autres serveurs ''NTP'', des horloges de référence matériel comme des récepteurs GPS ainsi que manuellement. L'outil embarque un client permettant la synchronisation avec des sources externes ainsi qu'un serveur pouvant accepter les requêtes de temps de clients autorisés.

''Chrony'' supporte, depuis la version 4.0, le protocole [https://datatracker.ietf.org/doc/rfc8915/ NTS] (Network Time Security) permettant d'authentifier les serveurs via une couche de sécurité [https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS] (Transport Layer Security).

{{info|La présente documentation est réalisée sous ''GNU/Linux Debian 12'' et ''chrony 4.3-2''.}}

=Serveur=
==Installation==
Installation du service
apt install --no-install-recommends chrony

==Configuration de base==
L'outil se base sur un unique fichier <code>/etc/chrony/chrony.conf</code> (changeable via un <code>-f</code>) pouvant être atomisé dans <code>/etc/chrony/conf.d/</code>. Les directives des serveurs peuvent quand à elle (et elles seules) être atomisées dans <code>/etc/chrony/sources.d/</code>. Il n'est cependant généralement intéressant d'utiliser cette atomicité que dans des configurations complexes.

Voici le contenu de ce fichier pour une configuration simple en mode serveur pour deux réseaux clients

<syntaxhighlight lang="bash">
# Bienvenue dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser les serveurs de temps de Debian.
# Toutes les IP retournées par le DNS seront utilisées dans la plage (pool).
pool 2.debian.pool.ntp.org iburst

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
# Chaque mot définit un type de données à journaliser. Se référer au manuel.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0

# Autoriser les clients NTP des réseaux suivants à se synchroniser au serveur
allow 192.168.1.0/24
allow 10.0.2.0/23
</syntaxhighlight>

Les directives <code>allow</code> sont responsables du comportement en mode serveur de ''Chrony''. En l'absence de paramètre, tous les clients sont autorisés à requêter le serveur (''NTP'' publique'').

Redémarrer le service
systemctl restart chrony.service

Afficher le statut du service pour voir d’éventuelle erreur
systemctl status chrony.service

==Authentification==
Deux modes d'authentification sont pris en charge :
* authentification ''NTP'' ([https://www.rfc-editor.org/rfc/rfc5906 RFC 5906])
* NTS ([https://www.rfc-editor.org/info/rfc8915 RFC 8915])

Dans la mesure où le temps n'est pas une donnée confidentielle (les raisons sont assez évidentes...), aucun mécanismes ne permet le chiffrement de son échange. Les méthodes existantes ne permettent que l'authenticité et l'intégrité des paquets transmis.

===Authentification NTP===

L'authentification ''NTP'' est le mécanisme historique assurant l'intégrité des réponses du serveur. Il se base sur une clé hachée via différents algorithmes (''SHA256'' dans notre exemple mais couramment [http://Ntp%20-%20cisco MD5]) et partagée entre les paires. Chaque clé comporte un identifiant unique et est contenue dans une base (texte plein pour ''Chrony'') des deux côtés de la communication. Le clients et le serveur doivent donc disposer du même couple identifiant/clé pour que les paquets soient jugés valides.

{{attention|Cela ne fonctionne pas. Il doit y avoir quelque chose d'autre à faire car après altération de la clé, ça se synchronise quand même... Cette méthode n'ayant jamais eu aucun intérêt de toute façon je ne vais pas perdre de temps à la faire fonctionner. Utilisez ''NTS'' si vous voulez de la sécurité. C'est mieux en tout point et bien moins compliqué à mettre en œuvre.}}

Génération de la clé côté serveur
chronyc keygen 1 SHA256 256 >> /etc/chrony/chrony.keys
systemctl restart chrony.service

Il faut copier la ligne générée dans le même fichier sur le client et préciser la clé à utiliser dans la ligne du serveur du fichier de configuration
server nts1.exemple.fr iburst key 1

systemctl restart chrony.service

===NTS===
''NTS'' est un mécanisme normalisé en septembre 2020 permettant d’utiliser ''TLS'' pour assurer l'authentification cryptographique du mode client-serveur du ''NTP''.

Génération des clés du serveur
mkdir /etc/chrony/nts
openssl req -x509 -nodes -days 36500 -newkey rsa:4096 -out /etc/chrony/nts/chrony.crt -keyout /etc/chrony/nts/chrony.key -subj "/CN=nts1.exemple.fr/"

Le service s'exécutant avec des privilèges restreints, il est important que l'utilisateur l'exécutant est la propriété sur les éléments générés
chown _chrony:_chrony /etc/chrony/nts/chrony.*

Il convient enfin d'ajouter les directive demandant au serveur de les utiliser dans la configuration du service

<syntaxhighlight lang="bash">
cat >> /etc/chrony/chrony.conf << _EOF_

# Configuration du NTS
ntsservercert /etc/chrony/nts/chrony.crt
ntsserverkey /etc/chrony/nts/chrony.key
_EOF_
</syntaxhighlight>

systemctl restart chrony.service
systemctl status chrony.service

=Client=
La configuration du client est très similaire à celle du serveur.

<syntaxhighlight lang="bash">
# Bienvenue dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser le serveur de temps NTS définit dans la section "serveur".
# Pour un NTP normal, il faut enlever le paramètre "NTS".
# Pour un NTP authentifié, faut utiliser le paramètre "key <id_clé>"
server nts1.exemple.fr iburst nts

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0
</syntaxhighlight>

Pour le ''NTS'', dans le cas où votre certificat est auto-généré, il faudra l'ajouter dans la base interne des clients. La méthode sous ''Debian'' est désormais la [https://www.baeldung.com/linux/ca-certificate-management suivante] (sur le client) :
cp chrony.crt /usr/local/share/ca-certificates/
update-ca-certificates -v

Redémarrer le service
systemctl restart chrony.service

Afficher le statut du service pour voir d’éventuelle erreur
systemctl status chrony.service

Afficher les sources NTP
chronyc sourcestats

Afficher l'état de la session NTS
chronyc authdata

=Sources=
* Pages de manuelles https://chrony-project.org/documentation.html :
** https://chrony-project.org/doc/4.4/chrony.conf.html
** https://chrony-project.org/doc/4.4/chronyd.html
** https://chrony-project.org/doc/4.4/chronyc.html
* https://ubuntu.com/server/docs/how-to-serve-the-network-time-protocol-with-chrony
* https://mpolinowski.github.io/docs/DevOps/Linux/2022-09-29--build-an-chrony-nts-client-from-source/2022-09-29/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/9/html/configuring_basic_system_settings/using-chrony-to-configure-ntp_configuring-basic-system-settings
* https://www.it-connect.fr/ntp-la-synchronisation-temporelle-avec-chrony/#V_Securisation_de_chrony

Chrony

2024-04-21T22:31:31Z

Ycharbi : Écriture d'une première ébauche à compléter plus tard car il est tard

[[Category:Service_temps]]

{{chantier}}

[https://chrony-project.org Chrony] est, comme sont homologue [[Ntp - linux|éponyme]], une implémentation libre du protocole [https://fr.wikipedia.org/wiki/Network_Time_Protocol NTP] (Network Time Protocol). Il peut synchroniser l'horloge système avec d'autres serveurs ''NTP'', des horloges de référence matériel comme des récepteurs GPS ainsi que manuellement. L'outil embarque un client permettant la synchronisation avec des sources externes ainsi qu'un serveur pouvant accepter les requêtes de temps de clients autorisés.

''Chrony'' supporte, depuis la version 4.0, le protocole [https://datatracker.ietf.org/doc/rfc8915/ NTS] (Network Time Security) permettant d'authentifier les serveurs via une couche de sécurité [https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS] (Transport Layer Security).

{{info|La présente documentation est réalisée sous ''GNU/Linux Debian 12'' et ''chrony 4.3-2''.}}

=Serveur=
==Installation==
Installation du service
apt install --no-install-recommends chrony

==Configuration de base==
L'outil se base sur un unique fichier <code>/etc/chrony/chrony.conf</code> (changeable via un <code>-f</code>) pouvant être atomisé dans <code>/etc/chrony/conf.d/</code>. Les directives des serveurs peuvent quand à elle (et elles seules) être atomisées dans <code>/etc/chrony/sources.d/</code>. Il n'est cependant généralement intéressant d'utiliser cette atomicité que dans des configurations complexes.

Voici le contenu de ce fichier pour une configuration simple en mode serveur pour deux réseaux clients

<syntaxhighlight lang="bash">
# Bienvenu dans le fichier de configuration de chrony. Veuillez voir la page de
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.

# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.
confdir /etc/chrony/conf.d

# Utiliser les serveurs de temps de Debian.
# Use Debian vendor zone.
pool 2.debian.pool.ntp.org iburst

# Utiliser les serveurs de temps fournis par les baux DHCP.
# sourcedir /run/chrony-dhcp

# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.
sourcedir /etc/chrony/sources.d

# Cette directive spécifie la localisation du fichier contenant le couple ID/clé
# pour l'authentification NTP.
keyfile /etc/chrony/chrony.keys

# Cette directive spécifie le fichier dans lequel chrony va stocker les
# informations de ratios.
driftfile /var/lib/chrony/chrony.drift

# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.
ntsdumpdir /var/lib/chrony

# Dé-commenter la ligne suivant pour activer la journalisation.
#log tracking measurements statistics

# Localisation des fichiers de journaux
logdir /var/log/chrony

# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.
maxupdateskew 100.0

# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.
rtcsync

# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais
# seulement pour les 3 premières synchronisations.
makestep 1 3

# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la
# base de données tz du système. Cette directive doit être commentée lors de
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.
leapsectz right/UTC

# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)
cmdport 0

# Autoriser les clients NTP des réseaux suivants à se synchroniser au serveur
allow 192.168.1.0/24
allow 10.0.2.0/23
</syntaxhighlight>

Les directives <code>allow</code> sont responsables du comportement en mode serveur de ''Chrony''. En l'absence de paramètre, tous les clients sont autorisés à requêter le serveur (''NTP'' publique'').

==Authentification==
Deux modes d'authentification sont pris en charge :
* authentification ''NTP''
* NTS

===Authentification NTP===

===NTS===
''NTS'' est un mécanisme normalisé en septembre 2020 ([https://www.rfc-editor.org/info/rfc8915 RFC 8915]) permettant d’utiliser ''TLS'' pour assurer l'authentification cryptographique du mode client-serveur du ''NTP''.

Génération des clés du serveur
mkdir /etc/chrony/nts
openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/chrony/nts/chrony.crt -keyout /etc/chrony/nts/chrony.key -subj "/CN=nts1.exemple.fr/"

Le service s'exécutant avec des privilèges restreints, il est important que l'utilisateur l'exécutant est la propriété sur les éléments générés
chown _chrony:_chrony /etc/chrony/nts/chrony.*

Il convient enfin d'ajouter les directive demandant au serveur de les utiliser dans la configuration du service

<syntaxhighlight lang="bash">
cat > /etc/chrony/chrony.conf << _EOF_

# Configuration du NTS
ntsservercert /etc/chrony/nts/chrony.crt
ntsserverkey /etc/chrony/nts/chrony.key
_EOF_
</syntaxhighlight>

=Client=

=Sources=
* Pages de manuelles https://chrony-project.org/documentation.html :
** https://chrony-project.org/doc/4.4/chrony.conf.html
** https://chrony-project.org/doc/4.4/chronyd.html
** https://chrony-project.org/doc/4.4/chronyc.html
* https://ubuntu.com/server/docs/how-to-serve-the-network-time-protocol-with-chrony
* https://mpolinowski.github.io/docs/DevOps/Linux/2022-09-29--build-an-chrony-nts-client-from-source/2022-09-29/
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/9/html/configuring_basic_system_settings/using-chrony-to-configure-ntp_configuring-basic-system-settings
* https://www.it-connect.fr/ntp-la-synchronisation-temporelle-avec-chrony/#V_Securisation_de_chrony

Cryptsetup

2024-04-19T23:54:25Z

Ycharbi : /* Bitlocker */ Menues corrections de syntaxe et ajout d'un nom type pour le fichier de récupération

[[Category:chiffrement]]
[[Category:périphériques bloc]]
''Cryptsetup'' est l'implémentation du standard ''LUKS'' sur la plupart des distributions ''Linux''. Il permet de chiffrer des périphériques de type bloc. Dans les distributions ''Debian'', il est fournit par le paquet <code>cryptsetup</code>.

=Mise en œuvre=
Voici un exemple de mise en œuvre de ''cryptsetup'' décrivant la création, le montage et le démontage d'un volume chiffré.

{{astuce|Il est possible de réaliser un test de performance des différents algorithmes supportés via la commande <code>cryptsetup benchmark</code>.}}

Chiffrement du disque ''sdc'' dans son intégralité (écrase tout dessus). Taper '''YES''' (en majuscule) et entrer le mot de passe de déchiffrement 2 fois
cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdc

Ouvrir le volume (ça fait un volume "montable" dans ''/dev/mapper/sdc_crypt'')
cryptsetup luksOpen /dev/sdc sdc_crypt

Créer le système de fichier
mkfs.ext4 /dev/mapper/sdc_crypt

Monter le volume
mount /dev/mapper/sdc_crypt /mnt

Démonter le volume
umount /mnt

Fermer le volume
cryptsetup luksClose sdc_crypt

Afficher les détails du volume (type de chiffrement notamment)
cryptsetup luksDump /dev/sdc

=Gestion des clef=
''Cryptsetup'' n'utilise pas réellement le mot de passe que vous avez fourni pour chiffrer le volume. Il génère lui même une clé qu'il va chiffrer avec l'un des moyens que vous lui fournissez (mot de passe ou fichier de clef). Ceci permet de pouvoir non seulement changer de mot de passe sans re-chiffrer tout le volume (seul la clef maitraisse l'est), mais également d'en avoir plusieurs.

==Changement de clef==
cryptsetup luksChangeKey /dev/sdc

Si vous avez plusieurs clefs d'enregistrées, vous pouvez sélectionner le crénau contenant celle à changer en ajoutant le paramètre suivant
cryptsetup luksChangeKey /dev/sdc -S 2

Les créneaux sont visualisables avec la commande
cryptsetup luksDump /dev/sdc

==Ajout d'une clef==
cryptsetup luksAddKey /dev/sdc

==Suppression d'une clef==
cryptsetup luksRemoveKey /dev/sdc

==Tester une clef==
Lorsqu'un volume est en cours d'utilisation, il peut arriver que vous soyez dans le doute concernant la clé utilisée pour le dé-chiffrer. Afin de la tester sans fermer le volume (et donc d'être dans l'incapacité de récupérer les données si vous avez perdu la clef), il est possible de copier la partie ''Luks'' dans un fichier et d'effectuer les tests dessus.

head -c 128M /dev/sda2 > /tmp/sda2.img
cryptsetup luksOpen /tmp/sda2.img testClef

Il est également possible d'utiliser un fichier de clef si vous en avez [[#Déchiffrement_automatique|ajouté-un]] dans votre volume
cryptsetup luksOpen /tmp/sda2.img testClef --key-file /root/fichier_clef.luks

Si le volume se déverrouille c'est que vous avez renseigné la bonne clef. Vous pouvez le fermer
cryptsetup luksClose testClef

{{astuce|Vous pouvez afficher les algorithmes utilisés pour un volume avec la commande <code>file -sL /tmp/sda2.img</code>.}}

==Source de la section==
* https://www.maketecheasier.com/change-luks-encryption-passphrase/
* https://unix.stackexchange.com/questions/590849/how-can-i-verify-a-luks-master-key
* https://www.cyberciti.biz/hardware/cryptsetup-add-enable-luks-disk-encryption-keyfile-linux/

=Fichier crypttab=
Le fichier <code>/etc/crypttab</code> est aux volumes chiffrés ce qu'est son homologue [[fstab]] aux systèmes de fichiers (il en partage d'ailleurs les mêmes [[fstab#Options de montages|options]]). Il est lu au démarrage par ''Cryptsetup'' afin de déchiffrer les volumes qui y sont renseignés (un par ligne). Si une phrase de passe est demandée, l'utilisateur sera invité à la rentrée, si c'est une clef sous [[#Déchiffrement automatique|forme de fichier]], celui-ci sera exploité depuis l'emplacement précisé dans la ligne.

Une entrée ''crypttab'' comporte 4 champs :
<nom_du_volume> <périphérique_bloc> <fichier_de_clef> <options>

Explications :
* '''<nom_du_volume>''' : correspond au nom qui sera donnée au volume une fois déchiffré et qui sera disponible dans <code>/dev/mapper/<nom_du_volume></code>
* '''<périphérique_bloc>''' : chemin ou ''UUID'' du périphérique à déchiffrer (même syntaxe que pour ''fstab'')
* '''<fichier_de_clef>''' : chemin du fichier de clef. Mettre '''none''' si une identification par mot de passe est préférée
* '''<options>''' : prends le paramètre obligatoire '''luks''' suivit de divers options facultatives identiques au ''fstab''

=Déchiffrement automatique=
Si vous avez plusieurs volumes chiffrés, il est possible d'utiliser des fichiers de clef présent sur le premier pour déchiffrer les autres. Nous allons partir du principe que mon premier disque de démarrage (chiffré) est ''vda'' et que le second est ''vdb''.

Création du répertoire de travail
mkdir /root/luks

Création du fichier de clé
dd if=/dev/urandom of=/root/luks/fichier_clef.luks bs=4096 count=1

Attribution des droits
chmod 500 luks/
chmod 400 luks/fichier_clef

Un volume ''LUKS'' peut gérer plusieurs ''mots de passes/clefs'', nous allons donc ajouter celle que nous avons créé à notre deuxième disque
cryptsetup luksAddKey /dev/vdb /root/luks/fichier_clef.luks

Récupération de l{{'}}''UUID'' de ''vdb''
export UUID_LUKS=$(blkid -s UUID -o value /dev/vdb)

Ajout d'une entrée dans le fichier de déchiffrement
echo "vbd_luks UUID=${UUID_LUKS} /root/luks/fichier_clef.luks luks,discard" >> /etc/crypttab

Le paramètre <code>discard</code> permet d'autoriser les commandes ''TRIM'' pour les ''SSD''. Cela n'a pas de sens si vous utilisez des disques durs. Si votre disque est amovible (et donc potentiellement absent lors du démarrage), il peut être judicieux d'ajouter l'option <code>nofail</code> qui permettra au système de ne pas se bloquer s'il ne trouve pas le périphérique. La commande <code>cryptdisks_start <nom_du_volume></code> devra alors être utilisée pour déchiffrer le volume.

{{info|Le fichier <code>/etc/crypttab</code> va initier un déchiffrement des volumes qui y sont indiqués au démarrage. Si le volume demande un mot de passe, un prompt sera proposé à l'utilisateur (c'est ce que fait la première ligne du fichier pour votre disque principal). Si la méthode d'accès est un fichier de clef, ''Cryptsetup'' va le soumettre au volume et si il correspond à celui de sa bibliothèque, il le déchiffre.}}

À ce stade, le volume se déchiffrera automatiquement au démarrage. Vous pouvez utiliser la [https://serverfault.com/questions/714605/can-cryptsetup-read-mappings-from-etc-crypttab commande] <code>cryptdisks_start vbd_luks</code> pour parcourir la ligne du fichier ''crypttab'' et en appliquer les directives (c'est ce que fait ''init'' au démarrage) afin de tester votre configuration immédiatement.

Il est également possible d’enchaîner avec un [[fstab|montage automatique]] du système de fichier via le <code>/etc/fstab</code>.

Déchiffrer manuellement le volume ''LUKS''
cryptsetup luksOpen /dev/vdb vbd_luks

Formater la partition
mkfs.btrfs -n 32K /dev/mapper/vbd_luks

Ajouter une une entrée dans le ''fstab''
echo "/dev/mapper/vbd_luks /mnt btrfs rw,relatime,space_cache,subvolid=5,subvol=/ 0 0" >> /etc/fstab

Au redémarrage, le volume sera automatiquement déchiffré et monté dans <code>/mnt/</code>.

==Source de la section==
* https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile

=Bitlocker=
''Cryptsetup'' est compatible avec le chiffrement des disques sur les systèmes ''Microsoft Windows'' nommé [https://support.microsoft.com/fr-fr/windows/chiffrement-d-appareils-dans-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d Bitlocker].

Lors de la création d'un tel volume sous ''Windows'', aucune clé de chiffrement n'est demandée à l'utilisateur car le système en génère une et la stock dans le ''TPM'' de l'ordinateur (j'imagine qu'une clé est demandée uniquement si ce composant matériel est absent). Un secret de récupération est alors fourni sous forme de fichier texte (<code>Clé de récupération BitLocker XXXXXXXX-....txt</code>. Il est très important de garder la clé qu'il contient car c'est cette dernière qui permettra de déverrouiller le disque chiffré via un autre système d'exploitation (<code>/dev/nvme0n1p3</code> et ''Debian 11'' dans l'exemple suivant).

L'intérêt d'une telle manipulation est évident : être capable de récupérer les données du disque système si ''Windows'' refuse de démarrer.

Déchiffrer le disque
cryptsetup open --type=bitlk /dev/nvme0n1p3 disque_windows

Monter le disque
mount -o ro /dev/mapper/disque_windows /mnt

Les commandes de démontage de re-verrouillage du disque sont identiques à ce qui a déjà été traité.

==Source de la section==
* https://superuser.com/questions/376533/how-to-access-a-bitlocker-encrypted-drive-in-linux

Cryptsetup

2024-04-19T22:45:22Z

Ycharbi : Ajout de la section "Bitlocker" + remplacement des balise "source" obsolètes

[[Category:chiffrement]]
[[Category:périphériques bloc]]
''Cryptsetup'' est l'implémentation du standard ''LUKS'' sur la plupart des distributions ''Linux''. Il permet de chiffrer des périphériques de type bloc. Dans les distributions ''Debian'', il est fournit par le paquet <code>cryptsetup</code>.

=Mise en œuvre=
Voici un exemple de mise en œuvre de ''cryptsetup'' décrivant la création, le montage et le démontage d'un volume chiffré.

{{astuce|Il est possible de réaliser un test de performance des différents algorithmes supportés via la commande <code>cryptsetup benchmark</code>.}}

Chiffrement du disque ''sdc'' dans son intégralité (écrase tout dessus). Taper '''YES''' (en majuscule) et entrer le mot de passe de déchiffrement 2 fois
cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdc

Ouvrir le volume (ça fait un volume "montable" dans ''/dev/mapper/sdc_crypt'')
cryptsetup luksOpen /dev/sdc sdc_crypt

Créer le système de fichier
mkfs.ext4 /dev/mapper/sdc_crypt

Monter le volume
mount /dev/mapper/sdc_crypt /mnt

Démonter le volume
umount /mnt

Fermer le volume
cryptsetup luksClose sdc_crypt

Afficher les détails du volume (type de chiffrement notamment)
cryptsetup luksDump /dev/sdc

=Gestion des clef=
''Cryptsetup'' n'utilise pas réellement le mot de passe que vous avez fourni pour chiffrer le volume. Il génère lui même une clé qu'il va chiffrer avec l'un des moyens que vous lui fournissez (mot de passe ou fichier de clef). Ceci permet de pouvoir non seulement changer de mot de passe sans re-chiffrer tout le volume (seul la clef maitraisse l'est), mais également d'en avoir plusieurs.

==Changement de clef==
cryptsetup luksChangeKey /dev/sdc

Si vous avez plusieurs clefs d'enregistrées, vous pouvez sélectionner le crénau contenant celle à changer en ajoutant le paramètre suivant
cryptsetup luksChangeKey /dev/sdc -S 2

Les créneaux sont visualisables avec la commande
cryptsetup luksDump /dev/sdc

==Ajout d'une clef==
cryptsetup luksAddKey /dev/sdc

==Suppression d'une clef==
cryptsetup luksRemoveKey /dev/sdc

==Tester une clef==
Lorsqu'un volume est en cours d'utilisation, il peut arriver que vous soyez dans le doute concernant la clé utilisée pour le dé-chiffrer. Afin de la tester sans fermer le volume (et donc d'être dans l'incapacité de récupérer les données si vous avez perdu la clef), il est possible de copier la partie ''Luks'' dans un fichier et d'effectuer les tests dessus.

head -c 128M /dev/sda2 > /tmp/sda2.img
cryptsetup luksOpen /tmp/sda2.img testClef

Il est également possible d'utiliser un fichier de clef si vous en avez [[#Déchiffrement_automatique|ajouté-un]] dans votre volume
cryptsetup luksOpen /tmp/sda2.img testClef --key-file /root/fichier_clef.luks

Si le volume se déverrouille c'est que vous avez renseigné la bonne clef. Vous pouvez le fermer
cryptsetup luksClose testClef

{{astuce|Vous pouvez afficher les algorithmes utilisés pour un volume avec la commande <code>file -sL /tmp/sda2.img</code>.}}

==Source de la section==
* https://www.maketecheasier.com/change-luks-encryption-passphrase/
* https://unix.stackexchange.com/questions/590849/how-can-i-verify-a-luks-master-key
* https://www.cyberciti.biz/hardware/cryptsetup-add-enable-luks-disk-encryption-keyfile-linux/

=Fichier crypttab=
Le fichier <code>/etc/crypttab</code> est aux volumes chiffrés ce qu'est son homologue [[fstab]] aux systèmes de fichiers (il en partage d'ailleurs les mêmes [[fstab#Options de montages|options]]). Il est lu au démarrage par ''Cryptsetup'' afin de déchiffrer les volumes qui y sont renseignés (un par ligne). Si une phrase de passe est demandée, l'utilisateur sera invité à la rentrée, si c'est une clef sous [[#Déchiffrement automatique|forme de fichier]], celui-ci sera exploité depuis l'emplacement précisé dans la ligne.

Une entrée ''crypttab'' comporte 4 champs :
<nom_du_volume> <périphérique_bloc> <fichier_de_clef> <options>

Explications :
* '''<nom_du_volume>''' : correspond au nom qui sera donnée au volume une fois déchiffré et qui sera disponible dans <code>/dev/mapper/<nom_du_volume></code>
* '''<périphérique_bloc>''' : chemin ou ''UUID'' du périphérique à déchiffrer (même syntaxe que pour ''fstab'')
* '''<fichier_de_clef>''' : chemin du fichier de clef. Mettre '''none''' si une identification par mot de passe est préférée
* '''<options>''' : prends le paramètre obligatoire '''luks''' suivit de divers options facultatives identiques au ''fstab''

=Déchiffrement automatique=
Si vous avez plusieurs volumes chiffrés, il est possible d'utiliser des fichiers de clef présent sur le premier pour déchiffrer les autres. Nous allons partir du principe que mon premier disque de démarrage (chiffré) est ''vda'' et que le second est ''vdb''.

Création du répertoire de travail
mkdir /root/luks

Création du fichier de clé
dd if=/dev/urandom of=/root/luks/fichier_clef.luks bs=4096 count=1

Attribution des droits
chmod 500 luks/
chmod 400 luks/fichier_clef

Un volume ''LUKS'' peut gérer plusieurs ''mots de passes/clefs'', nous allons donc ajouter celle que nous avons créé à notre deuxième disque
cryptsetup luksAddKey /dev/vdb /root/luks/fichier_clef.luks

Récupération de l{{'}}''UUID'' de ''vdb''
export UUID_LUKS=$(blkid -s UUID -o value /dev/vdb)

Ajout d'une entrée dans le fichier de déchiffrement
echo "vbd_luks UUID=${UUID_LUKS} /root/luks/fichier_clef.luks luks,discard" >> /etc/crypttab

Le paramètre <code>discard</code> permet d'autoriser les commandes ''TRIM'' pour les ''SSD''. Cela n'a pas de sens si vous utilisez des disques durs. Si votre disque est amovible (et donc potentiellement absent lors du démarrage), il peut être judicieux d'ajouter l'option <code>nofail</code> qui permettra au système de ne pas se bloquer s'il ne trouve pas le périphérique. La commande <code>cryptdisks_start <nom_du_volume></code> devra alors être utilisée pour déchiffrer le volume.

{{info|Le fichier <code>/etc/crypttab</code> va initier un déchiffrement des volumes qui y sont indiqués au démarrage. Si le volume demande un mot de passe, un prompt sera proposé à l'utilisateur (c'est ce que fait la première ligne du fichier pour votre disque principal). Si la méthode d'accès est un fichier de clef, ''Cryptsetup'' va le soumettre au volume et si il correspond à celui de sa bibliothèque, il le déchiffre.}}

À ce stade, le volume se déchiffrera automatiquement au démarrage. Vous pouvez utiliser la [https://serverfault.com/questions/714605/can-cryptsetup-read-mappings-from-etc-crypttab commande] <code>cryptdisks_start vbd_luks</code> pour parcourir la ligne du fichier ''crypttab'' et en appliquer les directives (c'est ce que fait ''init'' au démarrage) afin de tester votre configuration immédiatement.

Il est également possible d’enchaîner avec un [[fstab|montage automatique]] du système de fichier via le <code>/etc/fstab</code>.

Déchiffrer manuellement le volume ''LUKS''
cryptsetup luksOpen /dev/vdb vbd_luks

Formater la partition
mkfs.btrfs -n 32K /dev/mapper/vbd_luks

Ajouter une une entrée dans le ''fstab''
echo "/dev/mapper/vbd_luks /mnt btrfs rw,relatime,space_cache,subvolid=5,subvol=/ 0 0" >> /etc/fstab

Au redémarrage, le volume sera automatiquement déchiffré et monté dans <code>/mnt/</code>.

==Source de la section==
* https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile

=Bitlocker=
''Cryptsetup'' est compatible avec le chiffrement de disques des systèmes ''Windows'' nommé [https://support.microsoft.com/fr-fr/windows/chiffrement-d-appareils-dans-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d Bitlocker].

Lors de la création d'un tel volume sous ''Windows'', aucune clé de chiffrement n'est demandée à l'utilisateur car le système en génère une et la stock dans le ''TPM'' de l'ordinateur (j'imagine qu'une clé est demandée uniquement si ce composant matériel est absent). Une clé de récupération est alors fournie sous forme de fichier texte. Il est très important de garder la clé qu'il contient car c'est cette dernière qui permettra de déverrouiller le disque chiffré via un autre système d'exploitation (<code>/dev/nvme0n1p3</code> et ''Debian 11'' dans l'exemple suivant).

L'intérêt d'une telle manipulation est évident : être capable de récupérer les données du disque système si ''Windows'' refuse de démarrer.

Déchiffrer le disque
cryptsetup open --type=bitlk /dev/nvme0n1p3 disque_windows

Monter le disque
mount -o ro /dev/mapper/disque_windows /mnt

Les commande de démontage de re-verrouillages du disque sont identiques à ce qui a déjà été traité.

==Source de la section==
* https://superuser.com/questions/376533/how-to-access-a-bitlocker-encrypted-drive-in-linux

Matrix synapse

2024-03-24T11:17:19Z

Ycharbi : Ajout de la section "Réinitialisation de mot de passe"

[[Category:Service_communication]]

{{chantier}}

[https://github.com/matrix-org/synapse/ Synapse] est une implémentation serveur libre (licence ''Apache 2.0'') du protocole [https://fr.wikipedia.org/wiki/Matrix_(protocole) Matrix] écrit en ''Python''. Le projet, initié en 2014, est maintenu par la fondation [https://matrix.org Matrix.org] et passe en version stable (''1.0.0'') en 2019. Il est disponible dans les dépôts ''Bullseye-Backports'' et ''Testing'' de ''Debian''.

Il permet la communication électronique textuelle, orale et vidéo entre plusieurs interlocuteurs au travers de réseaux ''IP''. Il propose en outre la possibilité d'envoyer des fichiers et de partager les écrans des correspondants. Une attention toute particulière est porté sur la sécurité des échanges avec un système de chiffrement de bout en bout obligatoire, tant entre clients (pair à pair) que lors de transactions avec le serveur (client/serveur).

Il est nécessaire de permettre la communication vers les ports suivants :
* Fédération ''Synapse'' : 8448 ''TCP''
* ''TURN'' : 3478 ''TCP/UDP''

=Service Synapse=
==Installation==
Ajout des dépôts ''Backports'' pour ''Debian 11''

<syntaxhighlight lang="bash">
echo "deb http://ftp2.fr.debian.org/debian bullseye-backports main" >> /etc/apt/sources.list
apt update
apt install --no-install-recommends -t bullseye-backports matrix-synapse
</syntaxhighlight>

La réponse aux questions n'a pas d'importance car les fichiers de configuration seront re-générés plus loin.

==Configuration==
Le domaine utilisé pour l'exemple est le suivant
export DNS_SYNAPSE=synapse.exemple.fr

Génération des fichiers configuration et de la clé de signature

<syntaxhighlight lang="bash">
synapse_generate_config --server-name ${DNS_SYNAPSE} --config-dir /etc/matrix-synapse --data-dir /etc/matrix-synapse/ --report-stats no --generate-secrets -o /etc/matrix-synapse/homeserver.yaml
synapse_generate_log_config -o /etc/matrix-synapse/${DNS_SYNAPSE}.log.config
synapse_generate_signing_key -o /etc/matrix-synapse/${DNS_SYNAPSE}.signing.key

echo 'report_stats: false' > /etc/matrix-synapse/conf.d/report_stats.yaml
echo "server_name: \"${DNS_SYNAPSE}\"" > /etc/matrix-synapse/conf.d/server_name.yaml
</syntaxhighlight>

Écouter les requêtes clientes sur toutes les adresses ''IP'' du serveur
sed -i "s/bind_addresses: \[.*\]/bind_addresses: ['0.0.0.0']/g" /etc/matrix-synapse/homeserver.yaml

Redémarrer le service
systemctl restart matrix-synapse.service

Vous devriez voir un port 8008 ''TCP'' en écoute avec un <syntaxhighlight lang="bash" inline>ss -ltn</syntaxhighlight>. Celui-ci permet aux outils d'administrations d'utiliser les ''API'' de ''Synapse'' pour interagir avec lui.

==Gestion des utilisateurs==
Actuellement, seule la création d'un utilisateur est possible avec les outils fournis. Leur suppression ou modification (ou même leur listage) n'est pas supporté (oui c'est aberrant). Ce sujet est traité dans ce [https://github.com/matrix-org/synapse/issues/1707 ticket].

La syntaxe d'un utilisateurs dans les différents clients ''Matrix'' est <syntaxhighlight lang="bash" inline>@michel:synapse.exemple.fr</syntaxhighlight>. Ceci est utile pour en ajouter comme contact depuis un logiciel client (pourquoi faire simple ?).

===Création d'un utilisateur===
synapse_register_new_matrix_user http://127.0.0.1:8008 -c /etc/matrix-synapse/homeserver.yaml

===Source de la section===
* https://matrix-org.github.io/synapse/latest/setup/installation.html

=Service TURN=
Dans la mesure où le vrai monde est peuplé de ''NAT'' à profusion et qu'aucun protocole de communication en temps réel ne sais gérer cette situation correctement (la raison m'échappe toujours...), il est indispensable d'employer un service mitigeant cette contrainte. Ceci est le rôle des protocoles [https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT TURN]/[https://en.wikipedia.org/wiki/STUN STUN] implémenté dans le logiciel [https://github.com/coturn/coturn Coturn].

==Installation==
Le paquet est disponible dans les dépôts ''Sable''
apt install --no-install-recommends coturn

==Configuration==
Les informations spécifiques à l'instance de cette documentations seront les suivantes

<syntaxhighlight lang="bash">
export DNS_COTURN=turn.exemple.fr
export SECRET_COTURN=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)
export IP_EXTERNE=$(wget -qO - ifconfig.co)
export IP_INTERNE=192.168.0.100
</syntaxhighlight>

Le fichier de configuration du service se composera comme suit

<syntaxhighlight lang="bash">
cat << _EOF_ > /etc/turnserver.conf
use-auth-secret
static-auth-secret=${SECRET_COTURN}
realm=${DNS_COTURN}

# Le trafic VoIP est entièrement UDP. Il n'y a aucune raison de laisser les utilisateurs se connecter à des points d'extrémité TCP arbitraires via le relais
no-tcp-relay

# Ne laissez pas le relais essayer de se connecter à des plages d'adresses IP privées au sein de votre réseau (s'il y en a)
# Étant donné que le serveur tournant est probablement derrière votre pare-feu, n'oubliez pas d'inclure également toutes les adresses IP publiques privilégiées
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=172.16.0.0-172.31.255.255

# À recommandé, blocage de pairs locaux supplémentaires, afin de limiter l'accès externe aux services internes
# https://www.rtcsec.com/article/slack-webrtc-turn-compromise-and-bug-bounty/#how-to-fix-an-open-turn-relay-to-address-this-vulnerability
no-multicast-peers
denied-peer-ip=0.0.0.0-0.255.255.255
denied-peer-ip=100.64.0.0-100.127.255.255
denied-peer-ip=127.0.0.0-127.255.255.255
denied-peer-ip=169.254.0.0-169.254.255.255
denied-peer-ip=192.0.0.0-192.0.0.255
denied-peer-ip=192.0.2.0-192.0.2.255
denied-peer-ip=192.88.99.0-192.88.99.255
denied-peer-ip=198.18.0.0-198.19.255.255
denied-peer-ip=198.51.100.0-198.51.100.255
denied-peer-ip=203.0.113.0-203.0.113.255
denied-peer-ip=240.0.0.0-255.255.255.255

# Cas particulier : le serveur TURN lui-même pour que les flux client->TURN->TURN->client fonctionnent
# Il doit s'agir de l'une des adresses IP d'écoute du serveur TURN
allowed-peer-ip=${IP_INTERNE}

# Examinez si vous souhaitez limiter le quota de flux relayés par utilisateur (ou total) pour éviter les risques de DoS
user-quota=12 # 4 flux par appel vidéo, donc 12 flux = 3 appels relayés simultanés par utilisateur
total-quota=1200

# Certificats TLS, y compris les certificats intermédiaires
# Pour les certificats Let's Encrypt, utilisez 'fullchain.pem' ici
cert=/srv/tls/corturn.pem

# Fichier TLS de clé privée
pkey=/srv/tls/corturn.key

# Assurez-vous que les lignes de configuration qui désactivent TLS/DTLS sont commentées ou supprimées.
#no-tls
#no-dtls

external-ip=${IP_EXTERNE}
listening-ip=${IP_INTERNE}
_EOF_
</syntaxhighlight>

===Support du TLS===
Créer le répertoire d'accueil des éléments de chiffrement
mkdir /srv/tls

Ces éléments peuvent être issus d'une autorité de certification publique comme [[Letsencrypt|Letsencrypt]] (mettre la clé et le certificat '''chaînés''') ou privée, via [[Openssl|OpenSSL]] par exemple.

<syntaxhighlight lang="bash">
chown -R root:root /srv/tls
chmod 500 /srv/tls
chmod 400 /srv/tls/*
</syntaxhighlight>

Redémarrer le service
systemctl restart coturn.service

Le service écoute sur le port 3478 ''TCP/UDP''.

Il est à présent possible de configurer ''Synapse'' afin qu'il informe les clients d'utiliser notre service ''TURN'' lors de l'établissement des communications pair à pair entre eux.

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/matrix-synapse/homeserver.yaml

turn_uris: [ "turn:${DNS_COTURN}?transport=udp", "turn:${DNS_COTURN}?transport=tcp" ]
turn_shared_secret: "${SECRET_COTURN}"
turn_user_lifetime: 86400000
turn_allow_guests: True
_EOF_
</syntaxhighlight>

systemctl restart matrix-synapse.service

==Enregistrement DNS==
Cette section est totalement facultative et n'apporte rien. Il existe peut-être une configuration de ''Synapse'' permettant de trouver automatiquement le serveur ''TURN'' via ''DNS''...

Enregistrements ''DNS SRV'' (à ajouter dans la configuration de votre zone)

<syntaxhighlight lang="bash">
_stun._udp 10800 IN SRV 0 5 3478 exemple.fr.
_turn._udp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

Il est possible de requêter le serveur de noms sur ces champs précis via les commandes suivantes

<syntaxhighlight lang="bash">
dig +short _stun._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
dig +short _turn._udp._tcp 10800 IN SRV 0 5 3478 exemple.fr.
</syntaxhighlight>

==Test de fonctionnement==
Voici une [https://nextcloud-talk.readthedocs.io/en/latest/TURN/#6-testing-the-turn-server méthode] permettant de tester le fonctionnement du service en ligne de commande. Elle peut aider à deceler des problèmes simplement.
turnutils_uclient -p 3478 -W <CLÉ_SERVEUR_TURN> -v -y turn.exemple.fr

==Source de la section==
* https://matrix-org.github.io/synapse/latest/setup/turn/coturn.html

=Client WEB Element=
[https://github.com/vector-im/element-web Element] est un client WEB pour ''Matrix''. Anciennement connu sous le nom de ''Riot'', il existe aussi sous forme d'application ''IOS'' et ''Android''.

==Installation==
N'étant pas dans les dépôts ''Debian'', nous utiliserons la version ''Git''

<syntaxhighlight lang="bash">
apt install --no-install-recommends apache2

wget https://github.com/vector-im/element-web/releases/download/v1.10.14/element-v1.10.14.tar.gz -P /tmp

tar xf /tmp/element-v1.10.14.tar.gz -C /var/www/
ln -s /var/www/element-v1.10.14/ /var/www/element
chown -R www-data: /var/www/element*
</syntaxhighlight>

==Configuration==
L'hôte virtuel d{{'}}''Apache'' doit pointer vers le programme

<syntaxhighlight lang="bash">
cat << '_EOF_' > /etc/apache2/sites-available/element.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/element
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
_EOF_
</syntaxhighlight>

Désactivation de l'hôte virtuel par défaut et activation du nouveau
<syntaxhighlight lang="bash">
a2dissite 000-default.conf
a2ensite element.conf
</syntaxhighlight>

Le domaine utilisé sera le suivant
export DNS_ELEMENT=element.exemple.fr

La configuration de notre instance sera celle-ci

<syntaxhighlight lang="bash">
cat << _EOF_ > /var/www/element/config.json
{
"default_server_config": {
"m.homeserver": {
"base_url": "https://${DNS_SYNAPSE}",
"server_name": "${DNS_SYNAPSE}"
},
"m.identity_server": {
"base_url": "https://vector.im"
}
},
"disable_custom_urls": false,
"disable_guests": false,
"disable_login_language_selector": false,
"disable_3pid_login": false,
"brand": "Element",
"bug_report_endpoint_url": "https://element.io/bugreports/submit",
"uisi_autorageshake_app": "element-auto-uisi",
"default_country_code": "FR",
"show_labs_settings": false,
"features": { },
"default_federate": false,
"default_theme": "light",
"enable_presence_by_hs_url": {
"https://matrix.org": false,
"https://matrix-client.matrix.org": false
},
"setting_defaults": {
"breadcrumbs": true
},
"features": {
"feature_you_want_to_turn_on": true,
"feature_you_want_to_keep_off": false
}
}
_EOF_
</syntaxhighlight>

Redémarrer ''Apache''
systemctl restart apache2.service

==Source==
* https://github.com/vector-im/element-web/tree/develop/docs

=Fédération=
Un des atouts de cette solution est la décentralisation. En effet, il est possible d'interconnecter plusieurs serveurs afin de permettre la communication d'utilisateurs enregistrés sur des instances différentes. Ces interconnexions doivent êtres explicitement spécifiées dans la configuration de ''Synapse''.

Le domaine du serveur distant sera le suivant
export DNS_SRV_DISTANT_SYNAPSE=synapse.toto.fr

Ajout de celui-ci dans la configuration de ''Synapse'' (ceci doit être fait des deux côtés)

<syntaxhighlight lang="bash">
sed -i "s/^trusted_key_servers:/trusted_key_servers:\n - server_name: \"${DNS_SRV_DISTANT_SYNAPSE}\"/g" /etc/matrix-synapse/homeserver.yaml
sed -i "s/^#federation_domain_whitelist:/federation_domain_whitelist:\n - ${DNS_SRV_DISTANT_SYNAPSE}/g" /etc/matrix-synapse/homeserver.yaml
</syntaxhighlight>

systemctl restart matrix-synapse.service

=Cas d'une connexion mandaté=
Dans la mesure où il est courant qu'un serveur ne soit jamais relié directement à Internet (comprendre par la qu'il ne dispose pas d'IP publique), le cas d'un [[:Category:Reverse_proxy|mandataire inverse]] officiant entre les clients du ''WAN'' et le serveur ''Element'' du ''LAN'' est le plus probable. Ce point complique la transparence des échanges entre les machines et doit être géré au niveau de cet intermédiaire. Deux services ont étés testés en production avec succès. Leur configuration est donnée ci-après.

==Traefik==
Ajout d'un point d'entrer dans Traefik pour le port 8448

<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/traefik/config/vhosts/matrix.toml
[http]
[http.routers]
[http.routers.synapse]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapse.tls]
certResolver = "myresolver"

[http.routers.element]
entryPoints = ["websecure"]
rule = "Host(\`${DNS_ELEMENT}\`)"
service = "element"
[http.routers.element.tls]
certResolver = "myresolver"

[http.routers.synapsefed]
entryPoints = ["synapsefed"]
rule = "Host(\`${DNS_SYNAPSE}\`)"
service = "synapse"
[http.routers.synapsefed.tls]
certResolver = "myresolver"

[http.services]
[http.services.synapse.loadBalancer]
[[http.services.synapse.loadBalancer.servers]]
url = "http://${IP_INTERNE}:8008"
[http.services.element.loadBalancer]
[[http.services.element.loadBalancer.servers]]
url = "http://${IP_INTERNE}:80"
_EOF_
</syntaxhighlight>

==HAProxy==
<syntaxhighlight lang="bash">
cat << _EOF_ >> /etc/haproxy/haproxy.cfg
frontend matrix-federation
bind *:8448,[::]:8448 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1
http-request set-header X-Forwarded-Proto https if { ssl_fc }
http-request set-header X-Forwarded-Proto http if !{ ssl_fc }
http-request set-header X-Forwarded-For %[src]
default_backend synapse

frontend https
http-response add-header X-Frame-Options SAMEORIGIN

bind :443 ssl crt /etc/haproxy/tls/ alpn h2,http/1.1

acl host_synapse hdr(host) -i synapse.exemple.fr

use_backend synapse if host_synapse

<backend synapse
option forwardfor except 127.0.0.1
option http-server-close
server synapse 192.168.170.178:8008 check maxconn 32
_EOF_
</syntaxhighlight>

=Débogage=
La configuration de ''Synapse'' est quelque peu imbuvable et les problèmes, difficiles à corriger. Il est possible de s'appuyer sur les journaux du service afin de cibler l'origine des disfonctionnements.
tail -f /var/log/matrix-synapse/homeserver.log

Un outil permettant de determiner les caractéristiques du serveur est disponible à l'adresse https://federationtester.matrix.org/. Il peut s'avérer d'une aide précisieuse (surtout le rapport ''Json'').

=Réinitialisation de mot de passe=
Aussi étrange que cela puisse parraitre, il n'existe pas de fonction pour réinitialiser le mot de passe d'un utilisateur (incroyable) ! Les développeurs de cette solution doivent ignorer que ces derniers perdent régulièrement leur mot de passe et qu'il s'agit donc d'une fonctionnalité indispensable en production.
Heureusement, la structure de l'authentification étant très simple, il est triviale de réaliser cette opération [https://paritoshbh.me/blog/reset-user-password-synapse-matrix-homeserver soit-même] dans la base de données après génération d'un mot de passe haché .

# Génération du mot de passe haché
su - matrix-synapse -s /bin/sh -c 'python3 /usr/libexec/matrix-synapse/hash_password -c /etc/matrix-synapse/homeserver.yaml'
# connexion à la base de donnée de Synapse
su - matrix-synapse -s /bin/sh -c 'sqlite3 /etc/matrix-synapse/homeserver.db'

Après avoir identifié l'utilisateur dont le mot de passe doit être réinitialisé ("michel" pour l'exemple), utiliser le hachi généré pour remplacer l'ancien
<syntaxhighlight lang="sql">
SELECT * FROM users;
UPDATE users SET password_hash='$2b$12$OkrnSR1hOCj0xjb7mDnvf.OXVQ0P/EU8u4lUpMuU5YepvHXpv3sxm' WHERE name='@michel:synapse.exemple.fr';
</syntaxhighlight>

Le changement est instantané.