Archives de catégorie : Ubuntu

Pollution Amazon dans Ubuntu

La nouvelle version de Ubuntu Linux est sortie !
Version 18.04 LTS nommée bionic .
Bonne nouvelle même si je préfère toujours Debian Linux.

Par contre, comme d’habitude on a droit à la publicité gênante de Amazon dans les liens des applications (et pas que), et notamment bien placée dans le dock.
Solution pour la retirer à tous les utilisateurs en une seule fois, retirer le paquet ubuntu-web-launchers. Et c’est bon :-)

Retrouver le numéro de série du disque du système

Il est parfois utile de retrouver le numéro de série du disque dur (ou toute autre information) sur lequel le système tourne. On peut en avoir besoin par exemple pour une mise à jour d’une règle UDEV pour autoriser (ou non) les supports de stockages.

Quand on connaît le nom du disque, par exemple /dev/sda1, on peut retrouver l’information avec l’outil udevadm :
udevadm info -q property -n /dev/sda1 \
| grep ID_SERIAL_SHORT \
| cut -d '=' -f 2

Si on a le point de montage, c’est un peu plus long, il faut préalablement extraire le nom du disque :
udevadm info -q property \
-n $( mount | grep ' / ' \
| cut -d ' ' -f 1 ) \
| grep ID_SERIAL_SHORT \
| cut -d '=' -f 2

Dernier truc, l’exemple ici est fait sur la racine /… mais la racine d’un système Linux aujourd’hui est souvent chiffrée, donc ne dépend pas d’un disque physique mais d’une disque virtuel (lui-même sur le disque physique). Dans ce cas ça ne marche pas mais il est possible de faire le test sur /boot qui sera obligatoirement présent sur un système chiffré et en clair, donc directement sur le disque physique… ou sera présent parce que c’est souvent dans les recommandations pour durcir un système Linux.

Extraction de la piste son avec avconv

Sous Linux, l’outil libav permet de manipuler en ligne de commande les vidéos et notamment de scripter tout plein de choses.

Le paquet à installer sous Debian/Ubuntu s’appelle libav-tools (D/U).

Pour extraire la piste son d’une vidéo et la ré-encoder dans un format audio donné (ici ogg-vorbis), il faut utiliser la commande :

avconv -i fichier_video.mp4 \
-map 0:1 \
-strict experimental \
-acodec vorbis -ar 44100 -ac 2 -ab 192k \
fichier_audio.ogg

Ça tient sur une seule ligne sans les \ de fin de lignes; mais dans un script c’est plus clair…

On peut bien sûr jouer sur la qualité de re-compression ou le format audio de sortie :-)

Personnalisation de sa machine Linux – Introduction

Je vais démarrer un cycle de quelques articles sur la personnalisation d’une machine Linux. Les manipulations seront réalisées sur la toute dernière Debian Linux 8.0 « Jessie » sortie il y a quelques jours seulement. Mais beaucoup de manipulations pourront être reproduites sur Ubuntu et Mint en particulier et sur sur d’autres distributions Linux récentes en général.

Tout est fait dans mon cas sur une installation de Debian 8.0 sur clé USB. En cas de problème, si on casse quelque chose, le Linux installé sur la station, normalement sur le disque dur, n’est pas endommagée, ou a peu de chance de l’être.

On sait tous personnaliser le fond d’écran du bureau et la couleur des fenêtres. Mais il y a pleins d’autres choses que l’on peut adapter à ses gôuts ou aux couleurs de son entreprise ou association.
Voici la liste des sujets qui seront abordés dans les prochains articles :

  1. Personnalisation du chargeur de démarrage ;
  2. Personnalisation du démarrage/arrêt du système ;
  3. Personnalisation du gestionnaire de connexion ;
  4. Choix du gestionnaire de fenêtre ;
  5. Personnalisation du bureau.

Avant de commencer ce travail à plusieurs étages, il faut déterminer le thème graphique, le style ou la charte graphique que l’on souhaite appliquer.

Racine en lecture seule

Dans l’article sur la mise en place d’un système sur deux clés USB interdépendantes, il était question de faire tourner le système sur une clé en lecture seule. Il faut notamment que la racine soit sur cette clé, mais potentiellement une grande partie du système pour que cela soit intéressant.

C’est aussi un intérêt pour la durée de vie de la clé supportant le système. La technologie des mémoires FLASH dans les clés USB ne supporte pas énormément de cycles d’écriture. Ainsi, empêcher l’écriture revient à réduire considérablement ce risque de panne.

Il y a plusieurs façons de réaliser l’opération :

  1. Partitionner le système de façon à avoir certaines parties en lecture seule (/, /boot, /bin, /usr, /lib, /sbin) et d’autres en lecture/écriture (/home, /var, /tmp, etc…). CF https://wiki.debian.org/ReadonlyRoot .
  2. Utiliser une surcouche au système de fichier pour que celui-ci soit comme si il était en lecture/écriture, mais en fait rien n’est jamais écrit sur le disque. Toute modification reste en mémoire vive et est ainsi perdu au redémarrage. Il faut cependant faire attention dans notre exemple à l’occupation de la mémoire qui va inévitablement grossir avec le temps d’utilisation. CF http://lwn.net/Articles/327738/ .
  3. Faire en sorte que les programmes qui écrivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arrêtés ou désinstallés. Cela veut dire que certains programmes seront inutilisables parce qu’ils nécessitent pour leur fonctionnement d’écrire (compulsivement).

Il peut y avoir un problème avec les mots de passes à gérer. Il est possible de gérer plusieurs partitions chiffrées sans avoir autant de mot de passe à taper qu’il y a de partitions. Une méthode, que je n’ai pas essayé, est de dire à cryptsetup que le mot de passe est commun à plusieurs partitions. Une autre méthode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe à saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM par dessus une seule partition chiffrée, et sous-partitionner grâce à LVM. Cette dernière solution marche bien et est réalisable dès l’installation du système (au moins sous Debian et Ubuntu alternate).

Continuer la lecture de Racine en lecture seule

Mise à jour automatique au démarrage

Voici un moyen de faire automatiquement les mises à jours lors du démarrage du système. On se base ici sur une machine Ubuntu Linux 13.10 en fonctionnement nominal.

Il y a une méthode officielle via unattended-upgrades. Perso, je dois être mauvais, ça ne marche pas bien :'(
Ça me télécharge bien les paquets à installer mais à part me prévenir qu’il faut le faire… ça ne le fait pas tout seul chez moi…

On va répartir le travail en deux parties et une spéciale serveurs. La première est le script qui fait les mises à jours. La deuxième partie concerne l’insertion au démarrage d’une station de travail via upstart. Et enfin une troisième partie va permettre de tenir à jour régulièrement les serveurs.

Comme ça, vous n’aurez plus aucune excuse pour ne pas avoir vos machines à jour!

Continuer la lecture de Mise à jour automatique au démarrage

Station Linux et serveur Windows

Nous allons réaliser ici la première étape pour intégrer des stations Linux dans un domaine Microsoft Active Directory de niveau fonctionnel 2003. L’intégration dans un domaine AD de niveau 2008 et plus sera abordé une prochaine fois.

Conditions de départ de l’expérience :

  • Station : Ubuntu Linux 13.10, installation de base 64bits sans paquet supplémentaire.
  • Serveur : Microsoft Windows 2003 R2, domaine Active Directory activé, niveau de fonctionnalité 2003.
  • Domaine : MONRESEAU.NET

La documentation ci-dessous s’appuie beaucoup sur l’article ‘koo.fi blog – Ubuntu 12.04 Active Directory Authentication‘.

Plan :

  1. Station – Installer et configurer Kerberos
  2. Station – Installer et configurer Samba
  3. Station РCr̩ation du fichier Keytab
  4. Station РR̩g̩n̩ration automatique du ticket Kerberos
  5. Station – Installer et configurer LDAP
  6. Serveur – Configurer les comptes utilisateurs AD
  7. Station – Configurer NSS
  8. Station – Configurer PAM
  9. Fin
  10. Liens
  11. Annexes

Sur la station, toutes les commandes sont lancées en tant que root ou, mieux, via sudo.

Continuer la lecture de Station Linux et serveur Windows

Syst̬me bootable chiffr̩ sur deux cl̩s USB interd̩pendantes Рsuite

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes – suite

Système bootable chiffré sur deux clés USB interdépendantes

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

20131108 cryptsetup sur 2 cles usb

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes

Apache24 et PHP5 sous Ubuntu 13.10

Je n’utilise pas Ubuntu comme serveur web chez moi, mais j’ai un Apache installé sur ma station pour développer sylabe.

Suite à la mise à jour des machines vers la dernière version d’Ubuntu, la 13.10, ma page de test sylabe locale ne fonctionnait plus.

L’erreur est finalement assez simple à résoudre et ne dépend pas vraiment d’Ubuntu mais plutôt de la nouvelle version d’Apache, la 2.4 .
Les insertions de code php, souvent faites avec <? ne fonctionnent plus, il faut utiliser à la place <?php

Ubuntu Linux 13.10

Enfin arrivée !!!

http://www.ubuntu.com/desktop

J’en profite pour mettre à jour toutes les machines de la maison…
Compter quelques bonnes heures entre le téléchargement et l’installation des nouveaux paquets, et pas loin de 3Go de libre pour une mise à jour.
La mise à jour se fait en lançant en console la commande sudo do-release-upgrade

Le mieux est de faire ça depuis une session graphique sous Unity.
Si vous êtes comme moi sous enlightenment (e17), l’écran va se figer à un moment donné. Pas de panique, ça continue à travailler derrière. Il suffit de basculer sur un écran de terminal [Ctrl]-[Alt]-[F1], de se connecter et de killer un process dépendant de enlightenment et avec un numéro de process élevé… C’est un message d’erreur suite à la mise à jour d’enlightenment justement. Le mieux reste de lancer la mise à jour directement dans l’écran texte ou dans une session graphique avec Unity.

Ebox 3310A

C’est les soldes!
J’ai craqué sur un tout petit PC en promo. C’est un Ebox-3310A de DMP :

Processor MSTI PDX-600 -1GHz (Fanless)
Memory 512 MB DDR2 onboard
VGA XGI Z9S with 32MB DDR2
External 15-pin D-type female VGA connector
Ethernet Interface Integrated 10/100 Mbps LAN
I/O Enhanced IDE interface, 44pin box header x 1
Type I/II Compact Flash Slot x 1
MicroSD slot (bootable) x 1
RJ-45 Ethernet Connector
External 6-pin Mini DIN for PS2 Keyboard and Mouse
Audio CM119, Line out and MIC in
USB 3 ports (USB 2.0) (2 on Front)
Power Requirement Single Voltage +5V @2A
Dimensions 115 x 115 x 35 mm
Weight 505g
Operating Termperaturet +5 ~ +50°C operating temperature
Certificate CE,FCC

 

Le processeur est une sorte de 486 DX (Vortex86DX2) tournant à 1GHz mais sans ventilateur. Le tout est épaulé par 512Mo de RAM. Rappelez-vous, les processeurs que l’on avaient à notre puberté… Mais ici en beaucoup plus rapide!

Imaginez un peu à quoi cela ressemble : un PC dans un boîtier de 11,5cm de largeur et de longueur et de 3,5cm d’épaisseur !!!
Le tout sans ventilateur, donc sans aucun bruit!

Par contre, pas de disque dur interne. Mais on peut utiliser nativement à la place une carte CompactFlash (CF) ou une carte micro SD. Perso j’utilise une carte micro SD (Class4) de 16Go.

Systèmes supportés

D’après la doc, cette configuration matériel peut supporter M$$$ Windows XP mais aussi Debian Linux ou Ubuntu Linux par exemple. J’ai essayé différentes distributions :

  1. Ubuntu Linux 12.04 LTS i386
  2. Linux Mint i386
  3. Debian Linux 7.1.0 i386

Surprise, Ubuntu et Mint nécessitent en fait un processeur i586 au minimum… Dommage pour le 486. Seule la Debian à effectivement démarrée.

Installation

La méthode pour installer un système Linux sur ce boîtier est assez simple. Il faut une clé USB de au moins la taille du CD-ROM ou DVD-ROM d’installation du système d’exploitation visé.

  1. Sur une machine Linux. Télécharger l’image ISO du système à installer, par exemple Debian Linux 7.1.0.
  2. Insérer la clé USB sur cette machine.
  3. Faire une copie brute de l’image ISO sur la clé USB :
    dd if=debian-7.1.0-i386-CD-1.iso of=/dev/sdc
    avec /dev/sdc le périphérique (visible avec la commande dmesg).
  4. Retirer la clé USB et la brancher sur le boîtier Ebox.
  5. Allumer le boîtier. Il doit trouver tout seul la clé et booter dessus comme si c’était un lecteur CD ou DVD.
  6. Si on insère une carte CF ou micro SD, on peut installer le système dessus…

Si la carte micro SD n’est pas reconnue lors de l’installation, ce qui m’est arrivé avec Debian, il faut la retirer et la placer dans un lecteur de cartes et le relier au boîtier à côté de la clé USB.

Je teste avec Xorg pour voir ce que ça donne en terme de réactivité, puis j’essayerais d’installer FreeBSD par dessus…

Documentation

Le manuel peut être trouvé par ici. Copie du manuel : EBOX-33xxA User Manual

 

 

Magnétoscope pour arte.tv

Diana n’a pas pu voir une émission intéressante sur la Colombie, émission passé sur la chaîne arte. Elle l’a retrouvé sur arte+7, qui diffuse les émissions 7 jours après leur passage en direct sur la chaîne. Mais, ne pouvant l’enregistrer, elle n’a pas pu me la montrer à mon retour…

Il y a pourtant des reportages forts intéressants mais qui une fois diffusés disparaissent du net. Impossible de les retrouver sur quelque site que ce soit, même payant.

Voici donc un petit script pour télécharger la vidéo d’une émission depuis le site de arte+7 et la converti en MP4.. Continuer la lecture de Magnétoscope pour arte.tv

Lecture DVD sous Ubuntu

Je constate que certaines conneries ont la vie dure.

Le format DVD va bientôt s’éteindre… et on nous e[…]e encore avec la protection CSS, les fameuses zones des DVD qui n’ont pas servi à grand chose si ce n’est de faire c[…]r ceux qui achètent leurs DVD :-(

Bref, sous Ubuntu Linux, il faut encore et encore installer la libdvdcss pour pouvoir lire ses galettes chichement payées. Heureusement qu’on n’a pas besoin de réinstaller souvent notre pingouin!

Bref, j’avais oublié, ça se passe comme ça (en ligne de commande) :

sudo apt-get install ubuntu-restricted-extras
sudo sh /usr/share/doc/libdvdread4/install-css.sh

En plus, à cause de certains personnages, je deviens de plus en plus hermétique à la bêtise humaine… pfu… la dèche…

Toshiba Satellite A210-10A PSAELE

Le portable de Diana est un Toshiba Satellite A210-10A PSAELE.

Ce n’est pas une machine très récente, mais elle marche encore bien :-)
Bon par contre, pour Microsoft Windows Vista, c’est la cata…
Avec Ubuntu Linux 10.04, ça passe presque bien, juste que la machine fige de temps en temps. Depuis, il est toujours en place mais upgradé en 10.10 puis 11.04.
Un essai avec Seven montre le même problème mais encore plus souvent.

Donc je lui installe Windows XP (en parallèle du Linux). Continuer la lecture de Toshiba Satellite A210-10A PSAELE

Sécurisation du surf Internet depuis un réseau non sûr

Petit hack entre amis :-)

Introduction

Le problème est assez simple à la base, me permettre de surfer sur le net de façon sécurisée sur un réseau inconnu (par défaut non sûr).
Un des intérêts est aussi de pouvoir me connecter à ma banque en présentant mon adresse IP Française alors que je suis relié au net depuis l’étranger (Colombie Pologne etc…). Autre cas qui facilite la vie en conservant mon adresse IP, la connexion à Facebook. Dans le cas contraire, on se retrouve dans un processus de vérification d’identité fastidieuse et aléatoire… Continuer la lecture de Sécurisation du surf Internet depuis un réseau non sûr

Mise à jour régulière Debian/Ubuntu via la supervision

Objectif :

Il y a plusieurs façons de décharger de l’administrateur la mise à jour des serveurs Linux Debian et Ubuntu, et ce de façon automatique et régulière.

On peut utiliser le CRON, en veillant à supprimer le retour texte des commandes si on ne veut pas recevoir un message à chaque fois que la tâche CRON est lancée. Lors d’une mise à jour, tous les serveurs envoient un message…

On peut aussi utiliser un serveur qui centralise le lancement des commandes (via CRON) sur les différents serveurs et remonte le résultat à chaque fois. On reçoit donc un message régulièrement.

Une autre solution et d’utiliser la supervision. Celle-ci vérifier très régulièrement certains services, ajoutons aux checks la mise à jour du système. En plus, quand ça merde on est tout de suite prévenu par les circuits d’alerte de la supervision.

Nagios (et les outils qui utilisent la même base) permettent d’utiliser à distance un agent NRPE pour interroger des états internes à un serveur (donc non accessible via le réseau). Toutes sortes de choses peuvent être interrogé pourvu qu’il existe un plugin correspondant. Et si le plugin manque, on peut faire son propre script. C’est ce qui est réalisé ici.

Techniquement, que ce soit via un plugin sur le réseau ou via NRPE, un test remonte une valeur numérique de retour traduisant l’état de réussite du test, et un texte informatif. Les états numériques sont au nombre de 4 et correspondent aux états : OK, Warning, Critical, et Unknown.

Volontairement, la mise à jour se contente d’un safe-upgrade, c’est à dire sans mise à jour qui nécessite une modification des paquets en dépendance (impact potentiel fort du système et des services). Cela entraîne que si une mise à jour (noyau par exemple) nécessite plus que le le mode safe-upgrade, tous les serveurs seront en rouge sur la supervision. On contrôle ainsi parfaitement ces mises à jours qui peuvent poser problème…

Continuer la lecture de Mise à jour régulière Debian/Ubuntu via la supervision