Archives de catégorie : Debian

Retrouver le numéro de série du disque du système

Il est parfois utile de retrouver le numéro de série du disque dur (ou toute autre information) sur lequel le système tourne. On peut en avoir besoin par exemple pour une mise à jour d’une règle UDEV pour autoriser (ou non) les supports de stockages.

Quand on connaît le nom du disque, par exemple /dev/sda1, on peut retrouver l’information avec l’outil udevadm :
udevadm info -q property -n /dev/sda1 \
| grep ID_SERIAL_SHORT \
| cut -d '=' -f 2

Si on a le point de montage, c’est un peu plus long, il faut préalablement extraire le nom du disque :
udevadm info -q property \
-n $( mount | grep ' / ' \
| cut -d ' ' -f 1 ) \
| grep ID_SERIAL_SHORT \
| cut -d '=' -f 2

Dernier truc, l’exemple ici est fait sur la racine /… mais la racine d’un système Linux aujourd’hui est souvent chiffrée, donc ne dépend pas d’un disque physique mais d’une disque virtuel (lui-même sur le disque physique). Dans ce cas ça ne marche pas mais il est possible de faire le test sur /boot qui sera obligatoirement présent sur un système chiffré et en clair, donc directement sur le disque physique… ou sera présent parce que c’est souvent dans les recommandations pour durcir un système Linux.

Script VPN en vadrouille – via pare-feu

Suite de l’article Script VPN en vadrouille.

Certains opérateurs indélicats ajoutent des pare-feux entre leurs clients et l’Internet. Un des effets classiques de l’ajout de pare-feux, c’est que les connexions TCP qui ne communiquent pas pendant un certain temps sont considérées comme expirées, et donc automatiquement coupées. La coupure intervient généralement au bout de deux minutes. Continuer la lecture de Script VPN en vadrouille – via pare-feu

Script VPN en vadrouille

De balade de nouveau en Colombie.

Cette année, j’ai refait mon script de connexion vers la maison. Il s’agit de faire croire à face de bouc et co que je suis toujours à la maison pas qu’ils me posent tout un tas de questions dont moi-même ne suis pas sûr de pouvoir répondre…

Tout est fait sous Linux Debian mais il est facile d’adapter à d’autres distribution.

Continuer la lecture de Script VPN en vadrouille

Extraction de la piste son avec avconv

Sous Linux, l’outil libav permet de manipuler en ligne de commande les vidéos et notamment de scripter tout plein de choses.

Le paquet à installer sous Debian/Ubuntu s’appelle libav-tools (D/U).

Pour extraire la piste son d’une vidéo et la ré-encoder dans un format audio donné (ici ogg-vorbis), il faut utiliser la commande :

avconv -i fichier_video.mp4 \
-map 0:1 \
-strict experimental \
-acodec vorbis -ar 44100 -ac 2 -ab 192k \
fichier_audio.ogg

Ça tient sur une seule ligne sans les \ de fin de lignes; mais dans un script c’est plus clair…

On peut bien sûr jouer sur la qualité de re-compression ou le format audio de sortie :-)

Essaie de M$ Windows 10

Ca y est, Microsoft fait sa publicité partout pour la sortie de Windows 10. Est-ce que ce sera un bon cru comme Windows 7 ou un taré comme Windows 8 ? L’avenir nous le dira…

Ayant une machine un peu ancienne mais avec une licence Windows 7 valide, je décide de la réinstaller propre en Windows 7 pour ensuite la faire passer en Windows 10, puisque c’est gratuit. Déjà, une réinstallation de W7 complète sans logiciels supplémentaires mais avec toutes les mises à jours, c’est une bonne demi-journée.

En allant chercher chez Microsoft le petit programme qui va bien, je peux lancer tout de suite la mise à jour vers W10. Et hop, trois heures de téléchargement. Il faut dire que les serveurs de distributions de la nouvelle version chauffent un peu en ce moment.

Et la mise à jour commence, 3 heures aussi avec des redémarrages réguliers, un plantage en cours de route… Et enfin, on arrive sur quelque chose d’exploitable !
Ca a fini à 1 heure du mat’ tout ça…

Côté disque, sur les 64Go alloués, 45Go sont occupés, sans rien installer de plus.

Alors ? Bien ou bien ?
Mon avis très perso, c’est que l’interface épuré, ça change du bling bling des interfaces passées avec leurs jeux de transparences et d’effets animés partout. Je suis partagé sur cette interface, j’aime le côté épuré que j’utilise pour nebule, mais là je la trouve un peu moche par défaut. Il y a quand même une bonne cohérence de l’ensemble et c’est fonctionnel, finalement le plus important c’est ça.

Point négatif, c’est que sans compte chez monsieur Microsoft on est vite limité. Beaucoup de programmes le demande. Quand on crée des comptes sur la machine, on nous incite fortement à créer un compte chez M$. Il faut bien cherche le moyen de faire un compte local normal.

Bon, fin de la récréation. Faut quand même que je bosse un peu sur cette machine. Je vais garder le W10 pour tester mes sites web, mais j’ai besoin de mettre un Linux à côté sur le disque.

Au moment de l’installation de W7, au début, j’avais partitionné le disque pour ne laisser que 64Go à Windows. et une petite partition de 1Go pour le /boot du Linux à venir. Je lance l’installation de Linux Debian 8… et je vois que ma petite partition est bien là mais que les 4 partitions primaires sont utilisées. Bref, Monsieur Microsoft a ajouté une partition (800Mo) et n’a pas jugé bon de la mettre en partition étendue. Je suis obligé de sacrifier la petite partition de 1Go pour pouvoir créer une partition principale avec la plus grosse partie du disque pour contenir des partitions étendues.

En une heure l’installation de Debian est terminée, mises à jours comprises. Une autre heure pour les programmes supplémentaires et tout est bon.

On peut choisir au démarrage sur quel système on démarre, et W10 ne se plaint pas de son colocataire :-)

Faire un ‘timelapse’ des feux d’artifices

Ce 14 juillet, j’ai réussi à trouver une pas trop mauvaise place avec une vue correcte sur la tour Eiffel et son traditionnel feu d’artifice. Plutôt que de rester river à mon appareil pour faire des photos ou filmer, je l’ai laissé sur le trépied avec la télécommande en main et j’ai ainsi pu profiter du feu pendant que l’appareil travaillait tout seul :-)

Je suis parti sur un réglage de l’appareil en rafale lente sur f/8, 100iso et 4s, position 36Mpixels. En cours de route, je suis passé à 2s. Cela donne une série de photos de 2s de pose avec quasi rien de pause en chaque photos. Bon, à un bémol près, j’ai régulièrement saturé le buffer de l’appareil, ce qui provoque quelques passages sans photo.

Et en avant, on bloque la télécommande et on regarde !

tl0016

Ici, c’est le concert avant le feu.

En tout, il y a 747 photos exploitables et à exploiter !!!

tl0441

Et voici donc le film du feu d’artifice en ‘timelapse’ :

Un peu de technique maintenant. Comment faire le film en ‘timelapse’ depuis la série de photos. Tout est fait ici en ligne de commande sous Debian Linux avec convert et avconv. Continuer la lecture de Faire un ‘timelapse’ des feux d’artifices

Installation Debian 8 sur clé USB 64Go ultra-petite

La clé USB

Je souhaite disposer d’un nouveau système d’exploitation entièrement embarqué sur une toute petite clé USB et pouvant être utilisé sur n’importe quel ordinateur PC. Pour cela, j’ai acheté une clé USB SanDisk Ultra Fit 64Go.

c9a8d4b6-c006-438c-93ba-ab7f5a4e341f._V325735931__SR300,300_ SanDisk_Cruzer_Fit_Ultra_64gb_4 downloadImage9494_gallery

A l’achat, il y a une semaine, la clé m’a coûté 26€20.

Elle est vraiment petite et ne dépasse que de 6mm de l’ordinateur une fois connectée. Il manque une petite sangle pour l’attacher au porte clé, sans ça elle sera vite perdu…

Le cache de protection plastique est, comme d’habitude, un peu inutile. Il fonctionne bien pour l’instant mais il finira vite à l’usage par ne plus tenir, et donc il ne protégera plus la clé dans la poche au milieu des autres clés. Mais heureusement, il n’est pas indispensable. Au jugé, la coque de la clé est métallique et semble assez robuste pour ce genre de clé.

Le clignotement rouge de la clé est sympathique et le bienvenue à l’usage.

Le système

J’installe ici le système Debian Linux 8.1.0 pour processeurs 64bits.

banner

Le DVD peut être téléchargé ici. On peut prendre une version plus récente ou plus ancienne (8.0), après installation et mise à jour on aura de toute façon l’équivalent de la dernière version.

Deux petite particularités de mon installation. Pour commencer le système et les données utilisateurs sont intégralement chiffrées, sauf pour la partition de démarrage /boot qui restera non chiffrée (minimum indispensable). Et une partition d’échange en FAT32 de 4Go est maintenu pour pouvoir échanger des données notamment avec des machines sous M$ Windows.

Par facilité, j’utilise une machine dans laquelle je retire le disque dur interne le temps de l’installation. Sinon il faut faire attention en fin d’installation que GRUB soit bien installé sur la clé USB et pas sur le disque interne.

Le partitionnement de la clé ressemble donc à ça :

  1. sda1, 4Go, FAT32, /public
  2. sda2, 512Mo, ext4, /boot, avec indicateur d’amorcage
  3. sda3, 57.6Go, volume physique pour chiffrement :
    1. sda3_crypt, 57.6Go, ext4, /

Pas de partition de SWAP pour deux raisons. On ne va pas faire des choses très gourmandes en mémoire ou on considère que la mémoire vive de l’ordinateur sera suffisante pour cela. Et activer un SWAP sur un disque de type mémoire Flash est un bon moyen de l’user prématurément, il ne supporte pas autant de cycle d’écritures qu’un disque dur.

Le reste, c’est comme d’habitude. Et ça va assez vite, le plus long c’est de télécharger le DVD d’installation…

Personnalisation

Pour continuer, je modifie le fichier des sources de logiciels pour ajouter les contrib et non-free. Je désactive l’option qui permet d’installer automatiquement les paquets recommandés. Ainsi, lorsque l’on installe un nouveau logiciel, il ne met que ce qui est nécessaire en dépendance et pas ce qui est superflu (recommandé). Cela va un peu sauver de la place sur la clé.

Moyennant l’installation de divers logiciels pour mes besoins, il reste 48Go de libre.

La liste de ce que j’ai ajouté :

  • environnement Gnome (lors de l’installation)
  • e17
  • icedove
  • darktable
  • gimp-data-extras
  • gimp-gap
  • gimp-lensfun
  • gimp-plugin-registry
  • gwenview
  • hugin
  • kdenlive
  • libav-tools
  • exif
  • audacity
  • asunder
  • plymouth
  • plymouth-themes
  • firmware* (wireless/ethernet)

La liste de ce que j’ai retiré :

  • rpcbind
  • nfs-common

Firmware pour RTL8192EE

Je joue avec un Lenovo X250 installé fraichement sous Debian 8. C’est une petite machine assez sympathique.
Comparé au X240, le TouchPad est bien mieux conçu… au point qu’il vaut mieux éviter très franchement ce X240.

Mais j’ai un peu coincé pour la carte wifi…

Installer le paquet firmware-realtek

Le driver à utiliser : r8192ee

Le firmware peut être téléchargé ici. Il faut copier rtl8192eefw.bin dans /lib/firmware/rtlwifi/ .

Et enfin un redémarrage ou un déchargement/rechargement du driver r8192ee …

CF :
http://www.fishprogs.info/puppy/firmware/rtlwifi/
http://ftp2.halpanet.org/source/_dev/linux-firmware.git/rtlwifi/
https://wiki.debian.org/fr/rtl819x
http://www.corsac.net/X250/
https://github.com/OpenELEC/wlan-firmware/raw/master/firmware/rtlwifi/rtl8192eefw.bin

lenovo-laptop-thinkpad-x250-main

Personnalisation de sa machine Linux – 1 chargeur de démarrage

Première partie de la personnalisation de sa machine Linux.

Introduction

Le chargeur de démarrage, c’est un tout petit programme. Lorsque l’on allume sa machine, elle exécute le BIOS ou l’UEFI. Ceux-ci sont enregistrés dans une puce de la carte mère et permettent d’initialiser et de configurer la machine avec tous ses périphériques (carte vidéo, carte son, disque dur, etc). Lorsque le BIOS ou l’UEFI ont finit leur travail, ils chargent depuis le disque dur (en général) un petit programme stocké en début de disque, c’est le chargeur de démarrage. On trouve principalement GRUB ou LILO pour Linux, ou le Bootloader pour M$ Windows.

A quoi sert ce petit programme ? Il est souvent masqué ou ignoré de l’utilisateur lorsqu’il ne l’est pas. Et il passe très vite. C’est lui qui va lister les systèmes d’exploitations installés sur le ou les disques durs et permettre à l’utilisateur de choisir lequel il souhaite utiliser. Souvent, il n’y a qu’un seul système d’exploitation, c’est la raison pour laquelle peu d’utilisateurs remarquent le chargeur de démarrage.

On utilise ici GRUB, le chargeur de démarrage installé par défaut sous Debian Linux.

Comme on travaille sur une clé USB, suivant les machines sur lesquelles on va démarrer, il ne sera pas toujours possible de disposer d’une bonne résolution d’écran au démarrage. On fixe par défaut une résolution d’écran assez petite pour minimiser les problèmes, soit du 640×480.

Continuer la lecture de Personnalisation de sa machine Linux – 1 chargeur de démarrage

Personnalisation de sa machine Linux – Introduction

Je vais démarrer un cycle de quelques articles sur la personnalisation d’une machine Linux. Les manipulations seront réalisées sur la toute dernière Debian Linux 8.0 « Jessie » sortie il y a quelques jours seulement. Mais beaucoup de manipulations pourront être reproduites sur Ubuntu et Mint en particulier et sur sur d’autres distributions Linux récentes en général.

Tout est fait dans mon cas sur une installation de Debian 8.0 sur clé USB. En cas de problème, si on casse quelque chose, le Linux installé sur la station, normalement sur le disque dur, n’est pas endommagée, ou a peu de chance de l’être.

On sait tous personnaliser le fond d’écran du bureau et la couleur des fenêtres. Mais il y a pleins d’autres choses que l’on peut adapter à ses gôuts ou aux couleurs de son entreprise ou association.
Voici la liste des sujets qui seront abordés dans les prochains articles :

  1. Personnalisation du chargeur de démarrage ;
  2. Personnalisation du démarrage/arrêt du système ;
  3. Personnalisation du gestionnaire de connexion ;
  4. Choix du gestionnaire de fenêtre ;
  5. Personnalisation du bureau.

Avant de commencer ce travail à plusieurs étages, il faut déterminer le thème graphique, le style ou la charte graphique que l’on souhaite appliquer.

Ajouter un logo sur une vidéo

Pour tagger mes vidéos en masse avec un logo, j’ai recherché un peu sur Internet ce qui pouvait être fait en ligne de commande.

Sous Debian Jessie, il n’y a plus ni mencoder ni ffmpeg. J’avais des scripts avec le premier, faut les changer…
En remplacement, il faut installer libav-tools et utiliser la commande avconv.
CF : https://libav.org/avconv.html

Pour avoir un maximum de compatibilité avec les lecteurs vidéo et autres platines multimédia, j’encode la sortie vidéo en MPEG-4.

Il faut bien sûr un logo de la taille attendue sur la vidéo, au format PNG. Par exemple une image de 100px par 100px avec de la transparence :

logo

Pour insérer le logo sur la vidéo en haut à gauche (à 20px du bord) :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:20 [out]" $output

Pour insérer le logo sur la vidéo en haut à droite :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas à gauche :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=main_w-overlay_w-20:main_h-overlay_h-20 [out]" $output

Pour insérer le logo sur la vidéo en bas au milieu :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

La valeur -50, c’est la taille du logo divisé par 2.

Pour réduire la résolution de la vidéo, et donc la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -crf 20 -g 2
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Pour réduire le bitrate, et donc encore la place et la qualité :
avconv -i $input -strict experimental -threads auto -vcodec libx264 -b:v 10000k -bt:v 5000k
-vf "movie=$logo [watermark];[in] scale=1280:720 [cropped],[cropped][watermark] overlay=(main_w/2)-50:main_h-overlay_h-20 [out]" $output

Il ne reste plus qu’à faire le tour de toutes les vidéos à tagger… Une bonne vieille boucle en bash sur un find de la mort dans le dossier des vidéos… et beaucoup de temps…

Tunnel TLS pour ldap

Il y a semble-t-il un bugg récent assez gênant sur la libraire GnuTLS sous Debian 7. Suite à une mauvaise implémentation semble-t-il au niveau de la négociation des algorithmes de chiffrement, il est impossible de générer ou d’utiliser des certificats pour les programmes qui utilisent cette librairie. Et c’est le cas notamment de slapd, le serveur d’annuaire LDAP (OpenLDAP) sous UNIX.

Le problème aurait pu passer presque inaperçu… mais il y eu heartbleed…Et il se trouve donc qu’un certain nombre d’admins systèmes ont dû changer très rapidement les certificats de leurs serveurs, et ont dû tomber sur ce problème.

Il devient ainsi impossible de relier un serveur de messagerie ou un serveur web avec un annuaire LDAP utilisant OpenLDAP. J’ai notamment le problème avec mon serveur postfix

Il est possible de ne pas utiliser la connexion à l’annuaire via TLS. C’est potentiellement un gros problème de sécurité en fonction des différents réseaux que vont traverser ces flux. Bref, ont n’a plus de sécurité sur un flux qui contient toute l’authentification du réseau. C’est assez moyen.

Il est aussi possible de mettre en place une solution de remplacement avec stunnel. Cela revient en fait à faire manuellement la connexion et le tunnel sécurisé par TLS. En plus, on peut conserver les mêmes certificats que le démon slapd.

Côté serveur

Il faut commencer par désactiver l’utilisation du port tcp/636. Pour cela, il faut modifier une ligne dans le fichier /etc/default/slapd :
SLAPD_SERVICES="ldap://127.0.0.1:389/"

Redémarrer le démon slapd.

Ensuite,on concatène le certificat et sa clé dans un seul fichier :
cat /etc/ssl/private/slapd.key /etc/ssl/certs/slapd.crt > /etc/ssl/private/slapd-all.crt

Enfin, on crée le bout du tunnel côté serveur, en réutilisant le certificat :
stunnel -d 636 -r 127.0.0.1:389 -p /etc/ssl/private/slapd-all.crt

Côté client

Le client, c’est le service qui utilise l’annuaire LDAP, par exemple postfix.

On crée le bout du tunnel côté client :
stunnel -c -d 6389 -r ldap.serveur.net:636

Enfin, on dit au client, en l’occurrence postfix, d’utiliser le tunnel. Modifier le fichier /etc/postfix/main.cf (ou équivalent) :
account_server_host = ldap://localhost:6389/

Et on redémarre postfix

CF : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737921

Continuer la lecture de Tunnel TLS pour ldap

Nouveaux serveurs

Je profite de la disponibilité récente de machines virtuelles (VPS) chez OVH à des tarifs vraiment abordables pour scinder des services du serveur zulu :

  1. xray : serveur d’annuaire LDAP, Debian Linux 7.0 ;
  2. whisky : serveur de messagerie (smtp+xmpp+webmail), Debian Linux 7.0.

Le serveur annuaire est opérationnel mais pas encore exploité. Le serveur de messagerie est encore en cours de configuration. Pour ce dernier, je pensais utiliser Kolab, mais au vue des problèmes de configuration pour exporter l’annuaire sur un autre serveur je reviens à Horde

L’annuaire est un service critique pour plusieurs autres services comme la messagerie, les blogs et le wikis.

La messagerie est un point, que dis-je, LE point de vulnérabilité commun à tous les services que l’on utilise sur Internet. Ils ont tous en commun de demander une adresse email de secours sur laquelle on peut recevoir le nécessaire pour réinitialiser les mots de passes. Cela concerne les réseaux sociaux comme facebook et twitter, mais aussi google, gmail, yahoo, live, les assurances, les impôts, les sites marchants, les banques, etc…

Réinstaller Windows 7 Starter

Les solutions sont parfois bien compliquées pour des problèmes simples à la base…

Je dépanne une machine d’une amie. Cette machine Toshiba Satellite C605-SP4101L est vendu avec M$ Windows 7 Starter et, chose classique, elle rame suite à un problème à l’origine indéterminée. Impossible de nettoyer suffisamment pour retrouver un état stable et correct.
Pas de virus résiduel sur la machine, l’anti-virus à bien travaillé.

toshiba c605sp4101l

Solution : réinstaller.

Sauf que… Cette version de Windows n’est pas disponible à la vente, et impossible de trouver un DVD de réinstallation sur un site sûr.
Le constructeur, classiquement, ne fournit pas de quoi réinstaller la machine si on a pas fait la sauvegarde lors de l’achat. Bref, ce que personne ne fait, en fait.
Il n’est pas prévu de procédure convenable pour réinstaller ce genre de machine au bout de quelques années.
Que faire ? Jeter la machine à la poubelle alors que physiquement elle fonctionne bien.

Je lui aurais volontiers installé un Linux. Surtout que la machine est très bien gérée par Debian 7.0 par exemple.
Mais… à cause d’un périphérique externe très peu diffusé, et donc non supporté par la communauté et l’éditeur, ça n’est pas une solution envisageable.

L’autre solution, c’est d’installer un Windows 7 dans une version commercialisée. Et ensuite, soit on garde cette machine avec un crack, pirate, soit on essaie de la descendre en version (downgrade).
J’ai choisis dans un premier temps de la descente en version depuis une installation en Home Premium. Ça n’a pas fonctionné. Ré-essaie depuis une version Pro, pareil…
Ne reste que le crack. Et ça marche. Elle est activée et fait bien ses mises à jours.

Il faut bien vérifier l’innocuité du crack. Habituellement, ça vient avec une vérole. Il faut aussi vérifier que l’anti-virus est toujours ‘vivant’, c’est à dire qu’il détecte encore les virus…

La morale de cette histoire c’est que, curieusement, on a moins de problème en contournant les protections que en essayant de les respecter.

CF :
https://answers.yahoo.com/question/index?qid=20100317104813AA2xmui
http://tuto4you.fr/crack-activation-windows-7-sp1-hal-7600/

Et merde, encore un article sur Windows, je vais tuer mes scores :'(
Bon, j’y ai quand même installé un Linux pour la prochaine fois où elle aura des problèmes :-)

Racine en lecture seule

Dans l’article sur la mise en place d’un système sur deux clés USB interdépendantes, il était question de faire tourner le système sur une clé en lecture seule. Il faut notamment que la racine soit sur cette clé, mais potentiellement une grande partie du système pour que cela soit intéressant.

C’est aussi un intérêt pour la durée de vie de la clé supportant le système. La technologie des mémoires FLASH dans les clés USB ne supporte pas énormément de cycles d’écriture. Ainsi, empêcher l’écriture revient à réduire considérablement ce risque de panne.

Il y a plusieurs façons de réaliser l’opération :

  1. Partitionner le système de façon à avoir certaines parties en lecture seule (/, /boot, /bin, /usr, /lib, /sbin) et d’autres en lecture/écriture (/home, /var, /tmp, etc…). CF https://wiki.debian.org/ReadonlyRoot .
  2. Utiliser une surcouche au système de fichier pour que celui-ci soit comme si il était en lecture/écriture, mais en fait rien n’est jamais écrit sur le disque. Toute modification reste en mémoire vive et est ainsi perdu au redémarrage. Il faut cependant faire attention dans notre exemple à l’occupation de la mémoire qui va inévitablement grossir avec le temps d’utilisation. CF http://lwn.net/Articles/327738/ .
  3. Faire en sorte que les programmes qui écrivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arrêtés ou désinstallés. Cela veut dire que certains programmes seront inutilisables parce qu’ils nécessitent pour leur fonctionnement d’écrire (compulsivement).

Il peut y avoir un problème avec les mots de passes à gérer. Il est possible de gérer plusieurs partitions chiffrées sans avoir autant de mot de passe à taper qu’il y a de partitions. Une méthode, que je n’ai pas essayé, est de dire à cryptsetup que le mot de passe est commun à plusieurs partitions. Une autre méthode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe à saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM par dessus une seule partition chiffrée, et sous-partitionner grâce à LVM. Cette dernière solution marche bien et est réalisable dès l’installation du système (au moins sous Debian et Ubuntu alternate).

Continuer la lecture de Racine en lecture seule

Mise à jour automatique au démarrage

Voici un moyen de faire automatiquement les mises à jours lors du démarrage du système. On se base ici sur une machine Ubuntu Linux 13.10 en fonctionnement nominal.

Il y a une méthode officielle via unattended-upgrades. Perso, je dois être mauvais, ça ne marche pas bien :'(
Ça me télécharge bien les paquets à installer mais à part me prévenir qu’il faut le faire… ça ne le fait pas tout seul chez moi…

On va répartir le travail en deux parties et une spéciale serveurs. La première est le script qui fait les mises à jours. La deuxième partie concerne l’insertion au démarrage d’une station de travail via upstart. Et enfin une troisième partie va permettre de tenir à jour régulièrement les serveurs.

Comme ça, vous n’aurez plus aucune excuse pour ne pas avoir vos machines à jour!

Continuer la lecture de Mise à jour automatique au démarrage

Système bootable chiffré sur deux clés USB interdépendantes – suite

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes – suite

Système bootable chiffré sur deux clés USB interdépendantes

Voici une base de système qui nécessite deux clés USB pour pouvoir fonctionner. Si l’une manque, le système ne peut démarrer et, plus important encore, les données sont indéchiffrables.

Le schéma de principe :

20131108 cryptsetup sur 2 cles usb

L’exemple est réalisé à partir de Debian Linux 7.0, mais ça n’a pas de raison de ne pas fonctionner avec d’autres distributions. Ça marche aussi avec Ubuntu Linux par exemple. Il faut obligatoirement que cryptsetup soit disponible sur la distri. Il faut de préférence que l’on puisse mettre en place le chiffrement dès l’installation du système. Il faut aussi de préférence que le système soit installable directement sur clé USB et sur une partition chiffrée. Si ces deux dernières conditions ne sont pas remplies, l’exercice est réalisable mais il est beaucoup plus complexe à mettre en place.

Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes

Debian from scratch sous Xen

J’ai mis en place une machine pour me permettre de tunneliser un certain nombre de choses depuis la Colombie. La messagerie par exemple…
Cette machine est une machine virtuelle hébergée par une vraie machine qui tourne dans le placard. Le tout animé par xen.

Il existe déjà des tutoriels sur le net pour installer la machine hôte Debian avec xen et pour créer des machines virtuelles notamment avec l’outil xen-create-image.

Mais… les choses ne seraient pas assez simple sinon… je veux plutôt installer une machine virtuelle Debian 7 en utilisant le DVD d’installation et non en passant par debootstrap ou tout autre méthode similaire…

Continuer la lecture de Debian from scratch sous Xen