Linux

• Monter un disque ".vdi"

  apt-get install qemu-utils
  rmmod nbd
  modprobe nbd max_part=8
  qemu-nbd -c /dev/nbd0 a.dvi
  fdisk -l /dev/nbd0

• D\'emonter le disque virtuel

  umount /dev/nbd0p1
  qemu-nbd -d /dev/nbd0
  rmmod nbd

• Créer un fichier /etc/systemd/system/rc-local.service

  [Unit]
  Description=/etc/rc.local Compatibility
  ConditionPathExists=/etc/rc.local
  [Service]
  Type=forking
  ExecStart=/etc/rc.local start
  TimeoutSec=0
  StandardOutput=tty
  RemainAfterExit=yes
  SysVStartPriority=99
  [Install]
  WantedBy=multi-user.target

• Changer les droits chmod +x /etc/rc.local
• Activez le service : systemctl enable rc-local

echo 'Accès Shell Root le ' `date` `who` | \
    mail -s "`hostname`" monitoring@test.com

• tar -xvf ~/Downloads/jdk-7u3-linux-i586.tar.gz
• mkdir -p /usr/lib/jvm/jdk1.7.0
• mv jdk1.7.0_03/* /usr/lib/jvm/jdk1.7.0/
• update-alternatives --install "/usr/bin/java" "java" "/usr/lib/jvm/jdk1.7.0/bin/java" 1
• update-alternatives --install "/usr/bin/javac" "javac" "/usr/lib/jvm/jdk1.7.0/bin/javac" 1
• update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/lib/jvm/jdk1.7.0/bin/javaws" 1
• Ajouter les lignes suivants dans /etc/profile :

  JAVA_HOME=/usr/lib/jvm/jdk1.7.0
  PATH=$PATH:$HOME/bin:$JAVA_HOME/bin
  export JAVA_HOME
  export JRE_HOME
  export PATH

cd /usr/lib/mozilla/plugins
ln -s /usr/java/jdk1.8.0_51/jre/lib/i386/libnpjp2.so

• Sous Debian, on installe ce package par apt-get install quota
• On vérifie sa présence dans le système par le lancement de la commande quota_v2.ko :
   lsmod | grep quota
• Pour que le module soit pris en charge sur une partition montée, il faut que celle-ci intègre les options usrquota et grpquota (respectivement pour les fichiers appartenant aux utilisateur ou aux groupes)
• Pour chaque partition utilisant les quotas, il faut vérifier la présence des fichiers aquota.user et aquota.group
• Deux critères de limitation sont disponibles :
  • par l'espace utilisé
  • par le nombre de fichiers créés (inode)
  Mais aussi deux limites peuvent être fixés :
  • hard : l'utilisateur ne pourra pas dépassé cette limite. Une erreur système lui sera rapporté.
  • soft : l'utilisateur pourra créer son fichier, mais une alerte lui sera indiqué fia le système warmquota (voir le fichier /etc/warmquota.conf)

• Analyse d'une partition pour mettre à jour les fichiers aquota.user et aquota.group de la partition /home :
   quotacheck -vugm /home
• Pour activer les quotas pour les utilisateurs sur la partition /home :
   quotaon -u /home
  Pour activer les quotas pour les groupes sur la partition /home :
   quotaon -g /home
  Parallèlement, il y a la commande quotaoff pour désactiver les quota sur une partition
• La commande setquota permet de définir les quotas pour un utilisateur, un groupe ou par défaut :
  • setquota -u user 100 200 10 15 /home
    Cette commande attribuera à l'utilisateur user :
    • pour la limitation en espace utilisé : 100 pour la limite soft et 200 pour la limite de hard
    • pour la limitation du nombre de fichiers : 10 pour la limite soft et 15 pour la limite hard
• La commande repquota permet d'afficher les informations de quota pour les utilisateurs :
• Afficher les informations des utilisateurs sur la partition /home :
   repquota -u /home
• Afficher les informations de groupes sur la partition /home :
   repquota -g /home
• Afficher les informations sur toutes les partitions :
   repquota -a

• Pour la compression :
  • Crée une archive non-compressée du dossier /home dans le fichier a.tar et affiche les fichiers traités :
     tar -cvf /mnt/a.tar /home/
    De même mais conserve l'adresse absolue des fichiers :
     tar -cvPf /mnt/a.tar /home/
  • Voici différentes options pour la compression de l'archive lors de sa création :
     -j (bzip2) ; -z (gzip) ; --lzma (lzma)
    Voici la même compression du dossier /home mais cette fois avec la compression "gzip" :
     tar -cvzf /mnt/a.tar /home/
  • Il est également possible de compresser l'archive par l'usage externe du compresseur :
     tar -cv /home/ | gzip > a.gzip
• Pour la décompression :
  • Décompresse l'archive : tar -xvf a.tar
  • Affiche le contenu d'une archive sans la décompresser :
     tar -tf a.tar

• /etc/profile
• ~/.profile
• ~/.bashrc

• Pour connaitre l'heure de boot du système : who -b
• Pour afficher toutes les informations disponibles par cette commande :
   who -a

• Pour avoir des informations sur l'utilisateur courant :
   id
• Pour avoir des informations sur l'utilisateur user :
   id user
• Pour récupérer tous les gid des groupes de l'utilisateur user :
   id -G user
• Pour récupérer tous les noms des groupes de l'utilisateur user :
   id -Gn user

• La commande su est une commande de bas-niveau inclus dans toutes les distributions de Linux
  Voici quelques utilisations de su :
  • Change l'utilisateur courant dans le bash :
     su root
  • Change l'utilisateur courant dans le bash en chargeant les variables d'environnement de l'utilisateur :
     su -l root
  • Permet d'utiliser la commande chmod avec les droits de l'utilisateur :
     su -c "chmod 777 a.txt" root
• La commande sudo fait partie du package sudo qui permet une utilisation plus souple de la commande su
  Ce package propose le fichier /etc/sudoers qui permet à un utilisateur du système d'exécuter une commande sous l'identité d'un autre utilisateur.
  Voici comment l'utilisateur www-data peut utiliser le gestionnaire de fichiers pcmanfm :
   www-data ALL=(ALL) NOPASSWD: /usr/bin/pcmanfm

• Pour modifier le gid du groupe users :
   groupmod -g 52 users
• Pour changer le nom d'un groupe :
   groupmod -n utilisateurs users
• Pour modifier le mot de passe d'un groupe :
   groupmod -p xxxx users

• Pour modifier le groupe primaire de l'utilisateur user :
   usermod -g prof user
• Pour ajouter les groupes "math" et "info" à l'utilisateur user :
   usermod -G math,info user
• Voici commen enlever l'utilisateur user du groupe "root" :
   usermod -aG root user
• La commande suivante permet de changer le dossier personnel et interdit l'usage de tout shell à l'utilisateur user lui interdisant de se loguer :
   usermod -d /home/pascal -s /bin/false thomas
• La commande suivante change le nom de l'utilisateur user et modifie son uid :
   usermod -u 1001 -l tom user
• La commande suivante empêche l'utilisateur de se logguer :
   usermod -U user
  Pour annuler cette commande, on exécute :
   usermod -L user

• la commande userdel efface un utilisateur. C'est une commande de bas-niveau.
• la commande deluser est un script perl utilisant la commande userdel

• La commande useradd est une commande de bas-niveau ajoutant un utilisateur au système :
  Par exemple :
  • useradd -c "compte personnel" -g "users" -m -d "/home/utilisateur" tom
    Cette commande ajoute l'utilisateur "tom" qui aura pour dossier personnel "/home/utilisateur" et le crée si nécessaire (-m), son groupe primaire sera "users" et aura pour commentaire dans le fichier /etc/password "compte personnel"
  • Pour créer un utilisateur sans accès au login :
     useradd -s /dev/false tom
  • Définit le groupe primaire et les groupes secondaires de l'utilisateur tom :
     useradd -g users -G apache,root tom
• La commande adduser est une commande perl utilisant useradd

• L'appel simple passwd permet de changer le mot de passe de l'utilisateur courant
• Pour changer le mot de passe de l'utilisateur user :
   passwd user
• Affiche des informations sur le mot de passe de l'utilisateur courant :
   passwd -S
• Affiche les informations des mots de passe de tous les utilisateurs :
   passwd -aS
• Pour désactiver la possibilité du compte utilisateur :
   passwd -l utilsateur
• Un mot de passe vide pour se logguer sans mot de passe :
   passwd -d user
• passwd -i 5 -m 3 -x 70 -w 2 user
  L'utilisateur user verra les changements suivants sur son mot de passe :
  • l'utilisateur pourra toujours se connecter 5 jours après l'expiration du mot de passe ;
  • les changements de mot de passe doivent être espacés de 3 jours
  • l'utilisateur doit changer ses mots de passe au maximum tous les 70 jours
  • un avertissement sera affiché deux jours avant l'expiration du mot de passe

• 1: le nom de l'utilisateur
• 2: le mot de passe chiffre ; si sa valeur commence "!" ou "*" l'utilisateur ne pourra pas se logguer (utilisateur système / accès ssh)
• 3: date du dernier changement de mot de passe (depuis le 1 janvier 1970)
• 4: nombre de jours minimum avant de pouvoir changer le mot de passe
• 5: nombre de jours avant l'expiration du mot de passe
• 6: nombre de jours avant l'avertissement stipulant l'expiration du mot de passe
• 7: nombre de jours entre l'expiration du mot de passe et la désactivation du compte
• nombre de jours, à compter du 1er janvier 1970, après lequel le compte sera désactivé
• champs réservé

• 1: 1 l'algorithme de cryptage est "md5"
• 2: ujD66Lzn la clef de cryptage
• 3: fu1vc.eQNetN.QrBxe8fq/ le mot de passe crypté

• 1: le nom du groupe
• 2: le mot de passe ou x s'il est codé
• 3: le gid : numéro identifiant de manière unique le fichier
• 4: tous les noms d'utilisateurs ayant ce groupe comme groupe secondaire

• 1: le nom de l'utilisateur
• 2: le mot de passe ; s'il est chiffré x apparaitra
• 3: l'uid unique de l'utilisateur
• 4: le gid - le numéro du groupe principal
• 5: informations personnelles de l'utilisateur utilisées par le système
• 6: le répertoire personnel de l'utilisateur
• 7: le shell utilisé par l'utilisateur (/dev/false si il ne peut se logguer)

• la commande umask affiche le masque actuel.
• la commande umask 0222 définit le nouveau masque à 0222

• umask 100 : les fichiers et les dossiers seront cr\'ees respectivement avec les droits 666 et 677.
• umask 020 : les fichiers et les dossiers seront cr\'ees respectivement avec les droits 646 et 757.
• umask 004 : les fichiers et les dossiers seront cr\'ees respectivement avec les droits 662 et 773.
• umask 357 : les fichiers et les dossiers seront cr\'ees respectivement avec les droits 310 et 310.

• Pour que user devienne le propriétaire du fichier a.sh
   chown user a.sh
• Cette commande permet de modifier en même temps le groupe du fichier :
   chown user:mygroup a.sh
• Modifie le propriétaire en root tous les fichiers appartenant à l'utilisateur user du dossier courant et de ses sous-répertoires :
   chown root -R --from=user

• aux fichiers :
  Prenons un fichier a.txt dont la commande "ls -l" affiche :
   -rwxrwxrwx 1 thomas users 4096 mar 28 08:35 a.sh
  • setuid : lors de l'exécution d"un fichier possédant ce droit, son éxécution s'effectuera avec les droits du propriétaire du fichier et non pas avec ceux de l'utilisateur courant.
    Pour activer le setuid :
     chmod u+s a.sh ou chmod 4555 a.sh
    Le fichier aura alors l'affichage par ls -l :
     -rwsrwxrwx 1 thomas users 76 mar 28 08:35 a.sh
  • setgid : lors de l'exécution du fichier, celui s'exécutera avec les droits du groupe propriétaire et non pas avec ceux de l'utilisateur courant.
    Pour activer le setgid :
     chmod g+s a.sh ou chmod 2555 a.sh
    Le fichier aura alors pour affichage par ls -l :
     rwxrwsrwx 1 thomas users 76 mar 28 08:35 a.sh
  • sticky bit : avec cette permission le fichier restera en mémoire après sa première exécution afin d'être appelé les prochaines fois avec plus de rapidité.
    Pour activer le sticky bit :
     chmod o+s a.sh ou chmod 1555 a.sh
    Le fichier aura alors pour affichage par ls -l :
     rwxrwxrwt 1 thomas users 76 mar 28 08:35 a.sh
  Monter un système avec les options nosuid et noguid permet d'anniler les deux droits setuid et setgid sur ce système de fichiers (utile pour sécuriser la monter d'un disque externe)
• aux dossiers :
  Prenons l'exemple d'un dossier dossier dont la commande "ls -l" affiche :
   drwxrwxrwx 1 thomas users 4096 mar 28 08:35 dossier
  • setuid : avec cette permission, tous les fichiers créés dans le dossier ont automatiquement comme propriétaire le propriétaire de dossier
    Pour activer le setgid :
     chmod u+s dossier ou chmod 4555 dossier
    Le dossier aura pour affichage par "ls -l" :
     drwxrwsrwx 1 thomas users 4096 mar 28 08:35 dossier
  • setgid : avec cette permission, tous les fichiers créés dans le dossier ont automatiquement comme groupe d'appartenance le groupe de dossier
    Pour activer le setgid :
     chmod g+s dossier ou chmod 2555 dossier
    Le dossier aura pour affichage par "ls -l" :
     drwxrwsrwx 1 thomas users 4096 mar 28 08:35 dossier
  • sticky bit : avec cette permission, tout utilisateur ayant les droits en écriture peut également y effacer les fichiers dont il n'est pas propriétaire
    Pour activer le setgid :
     chmod o+s dossier ou chmod 1555 dossier
    Le dossier aura pour affichage par "ls -l" :
     drwxrwxrwt 1 thomas users 4096 mar 28 08:35 dossier

• Déplace par lots tous les fichiers ayant l'extension ".bak" dans le dossier /home/aa :
   find /etc -iname '*bak*' -type f -print | xargs /bin/cp -t /home/aa/
• Effacer tous les fichiers ayant une extension ".exe"
   find . -iname "*.exe" -exec rm {}\;
• Chercher un fichier en fonction de :
  • sa date de création :
     find . -ctime -2 (2 jours) ; find . -cmin -10 (10 minutes)
  • sa date de modification :
     find . -mtime -2 (2 jours) ; find . -mmin -10 (10 minutes)
  • sa date du dernier accès :
     find . -atime -2 (2 jours) ; find . -amin -10 (10 minutes)
• Cherche un fichier en fonction de son propriétaire
  • Nom du propriétaire : find /home -user nom
  • Uid du propriétaire : find /home -uid nom
• Cherche un fichier en fonction de son groupe
  • Nom du groupe : find /home -group nom
    Ou qui n'appartienne pas à ce groupe : find /home -not -group nom
  • Gid du groupe : find /home -gid nom
• Chercher un fichier qui une permission particulière
   find /home -t f -perm 704
• Pour connaitre la taille des fichiers appartenant à l'utilisateur ayant 1000 pour uid :

  find /home/user/Téléchargements/ -type f -uid 1000 -print0 | \
      du --files0-from=- -hc

• Chercher les fichiers n'ayant pas de propriétaire
   find -nouser
• Chercher un fichier en fonction de son type :
  • les fichiers : find /home -t f
  • les dossiers : find /home -t d
  • les liens symboliques : find /home -t l
• Rechercher un fichier de plus de 1Mo :
   find . -size +1M

• Affiche le numéro inode du fichier
   ls -i
• Crée une liste des fichiers du dossier
   ls -m
• Affiche les numéro uid et gid du propriétaire et du groupe
   ls -nl
• Affiche des informations de temps sur les fichiers
   ls -l --time=atime temps du dernier accès
   ls -l --time=ctime temps de la création

• d'un manque d'espace qu'on détecte à l'aide de la commande :
   df -h
  et on peut vérifier le contenu de chaque dossier un par un à l'aide de la commande :
   du -csh /
• d'un trop grand nombre d'inodes présent sur le serveur :
   df -i
  alors on vérifie le nombre de fichiers par sous dossier :
   find . -xdev -type f | cut -d "/" -f 2 | sort | uniq -c | sort -n

#/bin/bash
sync() {
  origDir=$1
  destDir="/media/user/5698f413-4a8d-4213-837e-372d32358a43/${2}"
  ##==== Efface la dixieme sauvegarde
  if [ -d "${destDir}/home-10" ]; then
    echo "Efface le dossier 10";
    rm -R "${destDir}-10";
  fi;
  ##==== Remonte le numéro de chacun
  echo "Remonte les numéro de dossier"
  for i in {0..9}; do
    j=$((9-${i}));
    k=$((${j}+1));
    if [ -d "${destDir}-${j}" ]; then
      mv "${destDir}-${j}" "${destDir}-${k}";
    fi;
  done;
  ##=== Verifie l'existence du dossier 1
  if [  -d "${destDir}-1" ]; then
    ##=== Copie le dossier 1 pour préparation de la mise à jour
    cp -al "${destDir}-1" "${destDir}-0"
  fi;
  ##=== Mise à jour du dossier
  OPTIONS=(-v --recursive --owner --group --force --delete --times);
  # OPTIONS_PLUS=(--filter '- /home/user' --filter '- /home/root' --filter '- /home/USER.BAK' --filter '- /home/android' --filter '- /home/Android');
  OPTIONS_PLUS=(--exclude='user' --exclude='Android' --exclude='android' --exclude='USER.BAK');
  rsync "${OPTIONS[@]}" "${OPTIONS_PLUS[@]}" ${origDir}/* ${destDir}-0/
  return 0;
}
sync "/home" "home"
sync "/etc" "etc"
sync "/root" "root"
sync "/media/user/sauv1/photo" "photo"
sync "/media/user/sauv2/Musique" "Musique"

• temps du dernier changement d'inode (création, changement de droit) : stat -C %Z
• temps du dernier accès : stat -c %X fichier
• temps de la dernière modification : stat -c %Y fichier

• Pour demander un check du filesystem au redémarrage
   tunefs -c 1 /dev/sda1
• Pour forcer la vérification des partitions au démarrage, on crée un fichier forcefsck à la racine du système (fichier /forcefsck).
  Sous Debian/Ubuntu, c'est le script "/etc/init.d/checkfs.sh" qui s'occupe de vérifier la présence de ce fichier et lance la vérification des partitions.

• On récupère son numéro inode par : ls -i
• On vérifie qu'il est accessible par :  find . -inum xxxx
• On l'efface : find . -inum xxx -delete

• Teste la lecture
   dd if=/dev/sda1 of=/dev/zero bs=1M count=400 iflag=direct
• Teste l'écriture
   dd if=/dev/zero of=/dev/sda1 bs=1M count=400 skip=1000 oflag=direct

• cryptsetup luksFormat -c aes -h sha256 /dev/hda7 : code la partition
• cryptsetup luksAddKey /dev/hda7 : ajoute une clé
• cryptsetup luksDump /dev/hda7 : vérifie le status
• cryptsetup luksOpen /dev/hda7 crypthome : monte le cryptage dans un périphérique
  On peut vérifier la présence de ce périphérique crypté : ls /dev/mapper
• mkfs.ext4 /dev/mapper/crypthome : formate de la partition
• mount -t ext3 /dev/mapper/crypthome /mnt/ : monte la partition

• Dans le fichier /etc/fstab :
   /dev/mapper/crypthome /home ext4 defaults,errors=remount-ro 0 2
• Dans le fichier /etc/crypttab :
   crypthome UUID=23a43730-4ce4-4deb-b81d-e8fdcd100397 none luks,timeout=120

• On peut cr\'eer un syst\\`\null{}eme de fichiers dans un fichier afin d'être "transportable" plus facilement :

  ## Cr\'eation d'un fichier de 40Mo
  dd if=/dev/zero of=/home/partVirt.img bs=1K count=40960
  ## Formatage de la partition
  ##-F force la cr\'eation ; -m 0 pas d'espace r\'eserv\'e pour root
  mkfs -t ext2 -F -m 0 /home/partVirt.img 
  ## Monter le syst\\`\null{}eme de fichiers
  mount /home/partVirt.img /mnt -o loop

• Pour cr\'eer un disque virtuel à partir d'un fichier

  dd if=/dev/zero of=//home/virtualDD bs=1M count=100
  losetup -fP  /home/virtualDD
  losetup -a
  losetup -d /dev/loop0

• Lorsque Linux monte une partition (via mount ou le fichier /etc/fstab), on peut indiquer des "options" qui influenceront l'usage de la partition par le système.
• Voici quelques-unes des options de montage d'une partition :
  • defaults : utilise les options par défaut :
     généralement : rw,suid,dev,exec,auto,nouser,async
  • ro monte le système en lecture seule
  • rw monte le système en écriture
  • suid il permet d'utiliser le "setuid bit" d'un fichier
  • nosuid il désactive le "setuid bit" d'un fichier
  • dev
  • exec
  • auto indique que le système de fichiers sera monté au lancement de la commande mount -a
  • user permet à tout utilisateur de monter ce système de fichiers à la demande
  • nouser indique que seul le super-utilisateur root peut monter la partition
  • async
  Linux "surveille" l'accès au fichier en conservant les temps d'accès. Cette surveillance peut entraîner une écriture sur le disque. Certaines de ces options sont notamment à désactiver (si cela ne pose pas de problème de sécurité) pour prolonger la vie des disques SSD :
  • strictatime : enregistre le temps d'accès à chaque fois
  • noatime : désactive l'enregistrement du temps d'accès
  • nodiratime : désactive l'enregistrement du temps d'accès que pour les dossiers
  • relatime : modifie l'accès-temps sous certaines condition optimisant l'écriture sur le disque
  • lazytime : garde dans la mémoire vive les changement de temps d'accès optimisant au maximum l'accès en écriture au disque. L'écriture se fera toutes les 24h ou sous certaines conditions.
• Voici quelques exemples d'utilisation de ces options
  • Monter une partition NTFS avec pour propriétaire l'utilisateur 1000 (uid) et appartenant au groupe 1002 (gid) :
     mount -t ntfs-3g /dev/sda1 /mnt -o uid=1000,gid=1002
  • Monte une partition NTFS et choisi une permission par défaut de 760 :
     mount -t ntfs-3g /dev/sda1 /mnt -o umask=760
    les commandes fmask et dmask gèrent les droits respectivement pour les fichiers et les dossiers.
  • Monte la partition en lecture seule :
     mount -t ntfs-3g /dev/sda1 /mnt -o ro
  • Interdit l'exécution de fichiers à partir de ce système de fichiers :
     mount -t ext2 /dev/hda1 /mnt/part -o noexec

• 1 champ : l'identifiant de la partition : çà peut être le chemin à la partition (ex: /dev/sda1) ou l'uuid du disque (on commence la ligne par UUID=xxxx-xxx-...)
• 2 champ : indique le dossier de montage de la partition
• 3 champ : indique le type du système de fichiers
• 4 champ : indique les options de montage du système de fichiers
• 5 champ : indique si oui (1) ou non (0) le système de fichiers subit une sauvegarde par la commande dump
• 6 champ : indique le comportement de la commande fsck au démarrage. Avec la valeur 0, la partition ne sera pas vérifiée. Avec une valeur différente de zéro, elle sera vérifiée et cette valeur indique l'ordre de vérification : mettre 1 pour la partition racine et 2 pour les autres.

• recherche les fichiers utilisés : lsof | grep /dev/sda1

• Vérifie que le système prend en charge ce système de fichiers :
   modprobe isofs
• Monter un système de fichiers iso-9660 :
   mount -t iso9660 /dev/cdrom /mnt -o loop

• Vérification que le système prend en compte le système NTFS :
   modprobe ntfs | grep ntfs
• Pour installer la prise en charge du NTFS dans le système :
   apt-get install ntfs-3g
• Formate rapidement une partition :
   mkntfs -f /dev/sda1
• Modifie la label :
   mkntfs -L nouveauLabel /dev/sda1
• Recherche les fichiers effacés :
   ntfsundelete /dev/sda1
• Il est possible de faire le clone d'une partition ntfs à l'aide de la commande ntfsclone

• Vérification que le système prend en compte FAT32 :
   cat /proc/filesystems | grep vfat
• Sous débian, installez le package "msdostool" :  apt-get install msdostool
  • choisit la version 32 de fat : mkdosfs -F 32 /dev/sda1
  • vérifie les badblocks et prend "monLabel" pour label : mkdosfs -c -n "monLabel" /dev/sda1
  • créé un système de fichiers de 100 blocks dans le fichier "f.iso" : mkdosfs -C "f.iso" 100

• e2label : modifie le label du système de fichiers.
• tune2fs : gère les options du système de fichiers.
  • définit le nombre de fois que le système sera monté avant le prochain contrôle :
     tune2fs -c 10 /dev/sda1
    On désactive le contrôle (déconseillé) par : tune2fs -c 0 /dev/sda1
  • définit le temps écoulé maximum entre deux contrôles :
    Deux mois : tune2fs -i 2m /dev/sda1
    Trois semaines : tune2fs -i 3w /dev/sda1
  • modifie le comportement du système face à une erreur lors d'un contrôle :
    remonte le système en lecture seule :  tune2fs -e remount-ro /dev/sda1
    crée un "kernel panic" :  tune2fs -e panic /dev/sda1
  • Modifie le UUID d'une partition :
    affecte un nouvel uuid : tune2fs -U "c1b9d5a2-f162-11cf-9ece-0020afc76f16"
    efface l'uuid : tune2fs -U clear
    choisit un uuid aléatoire : tune2fs -U random
  • Réserve 5% de la partition au super-utilisateur : tune2fs -m 5 /dev/sda1

• répare le maximum d'erreurs sans intervention de l'utilisateur : mkfs.ext4 -p /dev/sda1
• répond "yes" à toutes les questions mkfs.ext4 -y /dev/sda1
• avec la recherche des badblocks : mkfs.ext4 -c -c /dev/sda1

• Un système ext4 : mkfs.ext4 /dev/sda1
• Un système FAT32 avec le label "monLabel" : mkfs.vfat -L "monLabel" /dev/sda1

• Sauvegarde la MBR dans un fichier :
   dd if=/dev/sda of=/root/sauv.mbr bs=512 count=1
• Efface entièrement la MBR : dd if=/dev/zero of=/dev/hda bs=512 count=1

• Connaitre l'espace utilisé et libre de chaque dossier : df
• Afficher l'espace utilisé et libre de chaque dossier "humainement" lisible :  df -h
• Connaitre le nombre de fichiers d'une système de fichiers : df -i

• Crée une archive "a.cpio" des fichiers du dossier courant :
   find /home/aGarder -depth -print | cpio -oaV -O a.cpio
• Extrait une archive sans conserver les chemins absolues des fichiers :
   cpio -idv --no-absolute-filename < a.cpio

• Pour connaitre la taille du dossier courant du -csh *
• Pour connaitre la taille du dossier courant et affiche tous les élèments du dossier courant et en affiche la taille :
   du -hd1
• Connaitre la taille des fichiers d'une partition sortir du disque physique (sans suivre les liens) :
   du -cuhx *
• Affiche aussi la taille des fichiers cachés :
   du -hs $(ls -A)

• Pour connaitre les évènements de udev :
   udevadm monitor --env
• Le script suivant permet au système de vérifier l'insertion d'un média de type "clé-usb" et de le monter dans un répertoire de /media
  (extrait de https://unix.stackexchange.com/questions/44454/how-to-mount-removable-media-in-media-label-automatically-when-inserted-with)

  ### Contenu du fichier /etc/udev/rules.d/85-storage-automount.rules
  ENV{DEVTYPE}=="partition", RUN+="/lib/udev/storage-automount.sh", ENV{REMOVE_CMD}="/lib/udev/storage-autounmount.sh"
  ### Contenu du fichier /lib/udev/storage-automount.sh
  #!/bin/sh
  # set the mountpoint name according to partition or device name
  mount_point=$ID_FS_LABEL
  if [ -z $mount_point ]; then
    mount_point=${DEVNAME##*/}
  fi
  # if a plugdev group exist, retrieve it's gid set & it as owner of mountpoint
  plugdev_gid="$(grep plugdev /etc/group|cut -f3 -d:)"
  if [ -z $plugdev_gid ]; then
    gid=''
  else
    chown root:plugdev $mount_point
    gid=",gid=$plugdev_gid"
  fi
  # create the mountpoint directory in /media/ (if not empty)
  if [ -n $mount_point ]; then
    mkdir -p /media/$mount_point
    /bin/mount -v -t $ID_FS_TYPE  -o rw,nosuid,nodev,relatime,uid=1000,gid=33,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,showexec,utf8,flush,errors=remount-ro,uhelper=udisk2  $DEVNAME /media/$mount_point
  fi
  ### Contenu du fichier  /lib/udev/storage-autounmount.sh
  #!/bin/sh
  # set the mountpoint name according to partition or device name
  mount_point=$ID_FS_LABEL
  if [ -z $mount_point ]; then
    mount_point=${DEVNAME##*/}
  fi
  # remove the mountpoint directory from /media/ (if not empty)
  if [ -n $mount_point ]; then
    umount -l /media/$mount_point
    rm -R /media/$mount_point
  fi

  Pour que udev puisse monter une partition, il faut dans le fichier /lib/systemd/system/udev.service, il faut modifier le fichier :

  [Service]
  MountFlags=shared

  Quelques explications :
  • La commande udevadm monitor --env montre la présence d'un évènement de type "partition"
  • Lors de l'apparition de l'évènement "partition", le script storage-automount.sh sera exécuté
  • On rajoute le script storage-autounmount.sh lors du démontage de la partition
  • Le package udisks2 sera utilisé pour le montage et démontage de la partition. Le passage des droits passera par polkit et surtout les deux actions org.freedsktop.udisk2.filesystem-mount-system et org.freedesktop.udisks2.filesystem-unmount-others que vous trouverez dans le fichier /usr/share/polkit-1/actions/org.freedesktop.udisk2.policy (certaines des "default action" doivent mises à "yes")

• L'usage du speaker passe par l'utilisation du module pcspkr du noyau :
   lsmod | grep sp
• Pour supprimer , on rajoute un fichier xxx.conf dans le dossier /etc/modprobe.d/ dont le contenu est :
   blacklist pcspkr

• Pour connaître les périphériques utilisés par Xorg, on saisit la commande :
   xinput list
• En récupérant le numéro du périphérique utilisée (ici 13), on liste l'ensemble des propriétés du périphérique :
   xinput list-props 13
• L'option set-prop permet de modifier des paramètres d'usage du périphérique.
  Par exemple, l'option Finger permet de définir la pression des doigts activant les fonctions. Voici la ligne correspondante :
   Synaptics Finger (278): 60, 70, 0
  Pour modifier la valeur, on lance la commande :
   xinput set-prop 13 278 30 50 0
• Voici le fichier /etc/X11/corg.conf de mon portable Asus :

  Section "Device"
      Identifier  "Card0"
      Driver      "intel"
      Option      "Backlight"  "intel_backlight"
  EndSection
  Section "InputClass"
          Identifier "touchpad catchall"
          Driver "synaptics"
          MatchIsTouchpad "on"
          Option "SoftButtonAreas" "50% 0 82% 0 0 0 0 0"
          Option "FingerLow" "30"
          Option "FingerHigh" "40"
  EndSection

• Pour désactiver le bouton "power", éditer le fichier /usr/share/X11/xkb/symbols/inet et modifier la valeur de POWR

export DISPLAY=:0
export XAUTHORITY=/home/user/.Xauthority

needs_root_rights=yes
allowed_users=anybody

• Voici quelques commandes liés à l'usage et à la modification des touches de raccourcis :
  • Le fichier se trouve ~/.config/xfce4/xfconf/xfce-perchannel-xml/xfce4-keyboard-shortcuts.xml
  • Puis, on lance les deux commandes suivantes avec l'utilisateur courant (pas root)

    killall xfconfd && /usr/lib/x86_64-linux-gnu/xfce4/xfconf/xfconfd &
    killall xfsettingsd && xfsettingsd &

  • On peut supprimer le paramétrage des touches par défaut en changeant le nom du fichier
     /etc/xdg/xfce4/xfconf/xfce-perchannel-xml/xfce4-keyboard-shortcuts.xml.bak
• D'autres choses pour xfce4 (toujours lancer avec l'utilisateur courant :
  • Relancer les paramètres de xfce4 :
     xfdesktop --reload
  • Pour lire la configuration des touches :
     xfconf-query -c xfce4-keyboard-shortcuts -lv

• On crée le fichier myscript dans le dossier /etc/init.d :

  #! /bin/sh
  ### BEGIN INIT INFO
  # Provides:             perso
  # Required-Start:       $remote_fs $syslog
  # Required-Stop:        $remote_fs $syslog
  # Default-Start:        2 3 4 5
  # Default-Stop:         
  ### END INIT INFO
  service udev restart

• On demande au système d'exécuter le script à chaque démarrage en exécutant l'instruction :
   update-rc.d -f myscript defaults

• Pour donner une ip statique à l'interface eth0

  iface eth0 inet static
  address 192.168.51.200
  netmask 255.255.255.0
  network 192.168.51.0
  broadcast 192.168.51.255
  gateway 192.168.51.1
  dns-nameservers 41.207.177.1 41.207.160.45
  dns-search pedagogie.local

• Pour donner une ip par DHCP :

  iface eth1 inet dhcp

• Pour une carte Wifi :

  iface eth0 inet dhcp
  wireless-essid monPointAcces
  wireless-channel 11
  wireless-mode Ad-hoc
  wireless-nic maMachine
  wireless-key 2345235235
  wireless-keymode restricted

  Il faut au préalable installer le package wireless-tools
• Il est possible d'exécuter un script avant et/ou après qu'une carte soit montée :

  iface eth1 inet dhcp
  
  pre-up /root/check-mac-address.sh eth1 AA:BB:CC:DD:EE:FF
  post-up /usr/sbin/ethtool -s eth1 wol g

• Pour rechercher un package ou un mot clé dans l'ensemble des dépots :
   apt-cache search motClef
• Pour connaitre les dépendances du package samba-common :
   apt-cache depends samba-common
• La commande suivant présent tous les dépôts et leur priorité dans leur utilisation pour choisir un package :
   apt-cache policy
• Pour connaitre la version d'un package installé sur le système et/ou la version disponible sur le seruveur :
   apt-cache policy samba-common
• Affiche les différentes versions d'un package disponibles sur les dépots :
   apt-cache madison samba
• Pour connaitre des informations sur le package samba
 apt-cache showpkg samba
• Pour connaitre l'ensemble des packages disponibles sur le système :
   apt-cache pkgnames

rm /var/lib/apt/lists/*
rm /var/lib/apt/lists/partial/*
rm /var/cache/apt/archives/*
rm /var/cache/apt/archives/partial/*

• La commande apt-get update cherche tous les dépots dans le fichier /etc/apt/source.list et met à jour la liste des packages disponibles pour chaque dépot.
• Pour installer le package pack, on exécute :
   apt-get install pack
• Pour supprimer un package deux manières principalement :
  • apt-get remove pack : retire le package du système mais conserve certains fichiers comme les fichiers de configuration ou les fichiers de données liés au package
  • apt-get purge pack : retire le package du système et efface tous les fichiers liés au package.
• Pour effacer entièrement un package du système :
   apt-get autoremove --purge mysql-server
• Pour mettre l'ensemble des packages du système à jour :
   apt-get update && apt-get upgrade
• Pour télécharger la source d'un package (pour le compiler manuellement par exemple) :
   apt-get source pack
• Verifie l'intégrité des dépendances entre les packages du système :
   apt-get check
• Pour vider le cache du système apt (notamment le dossier /var/cache/apt) :
   apt-get clean
• Pour éviter d'installer des packages de documentations :
   apt-get --no-install-recommends install xxxx
  Pöur automatiser ce choix, on saisit dans un fichier /etc/apt/apt.conf.d/90-perso.conf, le code suivante :

  APT::Install-Suggests "0";
  APT::Install-Recommends "0";

• Pour limiter le débit utilisé pour l'installation d'un package :
   apt-get install -o Acquire::http::Dl-Limit=50 wxmaxima
• Exemple pour débugger les échanges HTTP :
   apt-get -o Debug::Acquire::http=true update

• On ajoute la ligne suivante dans le fichier /etc/apt/sources.list :
   deb http://ftp.fr.debian.org/debian stretch main contrib non-free

• Pour qu'on n'installe des packages de Scretch seulement lorsqu'on le souhaite, on va baisser la priorité de ce dépot pour qu'il ne soit pas choisi par défaut. On crée le fichier /etc/apt/preference.d/90-stretch.pref avec le contenu :

  Package: *
  Pin: release n=stretch
  Pin-Priority: 50

• On met le système apt à jour : apt-get update
• On vérifie que les packages du dépot Stretch a une priorité inférieure à ceux du dépot de Jessie. Pour cela, on lance la commande :
   apt-cache policy emacs
  qui doit afficher le résultat suivant :

  leafpad:
    Installé : (aucun)
    Candidat : 0.8.18.1-4
   Table de version :
       0.8.18.1-5 0
           50 http://ftp.fr.debian.org/debian/ stretch/main amd64 Packages
       0.8.18.1-4 0
          500 http://ftp.fr.debian.org/debian/ jessie/main amd64 Packages

  On remarque la priorit\'e de 50 sur le dépot stretch
• Maintenant, si on veut installer un package de ce dépot, on lance la commande :
   apt-get install -t stretch leafpad

• Recherche tous les fichiers contenant la séquence "abc" de caractères :
   ls | grep "abc"
• Affiche le chemin du dossier personnel de l'utilisateur root :
   cat /etc/passwd | grep root | awk -F":" '{print $6}'

• Redirige la sortie standart (stdout) vers un fichier en écrasant son contenu:
   ls > a.txt
  Redirige la sortie standart (stdout) vers la fin d'un fichier:
   ls >> a.txt
• Redirige la sortie standard d'erreurs (stderr) vers un fichier
   ls 2> a.txt
• Redirige la sortie standard (stdin) vers un fichier et la sortie d'erreurs (stderr) vers un autre fichier
   ls > a.txt 2> b.txt
• Redirige les deux sorties vers un même fichier
  • Pour bash : ls >& a.txt
  • Pour sh (et cron) : ls > a.txt 2>&1

• Affiche toutes les lignes comprenant l'occurence "root" :
   grep root /etc/passwd
• Affiche toutes les lignes comprenant l'occurence "root" sans être sensible à la casse :
   grep -i RoOt /etc/passwd
• Affiche toutes les lignes ne comprenant pas l'occurence "root" :
   grep -v root /etc/passwd
• Affiche les numéros de lignes des résultats
   grep -i root /etc/passwd
• Utilisation des expressions régulières pour chercher dans un fichier :
  • cherche "root" en début de fichier : grep -e "^root" /etc/passwd
  • cherche "root" en fin de fichier : grep -e "root$" /etc/passwd

• Extraire la bande son d'une vidéo
   ffmpeg -i "$entree" -acodec libmp3lame "${sortie}.mp3"
  ou

  a=`ls *.mp4`
  for i in ${a[@]}; do
      ffmpeg -i ${i} -codec:a libmp3lame -qscale:a 2 ${i}.mp3
  done

• Pour prendre la vidéo d'un fichier et l'audio d'un autre pour créer un unique fichier :

  ffmpeg -i youtube_raspberry.mp4 -i raspberry.mp3 -map 0:v -map 1:a -c:v copy  -c:a aac viaeduc3-raspberry.mp4

• Voici deux commandes pour créer des vidéos "optimisées" en taille pour l'inclusion dans une page web :

  /root/bin/ffmpeg  -i ${entree} -vcodec libx264 -profile:v baseline -level 3.0 -r ${fps} -crf 30 -vf scale=-1:360  -pix_fmt yuv420p  -acodec aac -ab 96k -movflags faststart -y ${sortie}.mp4
  /root/bin/ffmpeg -i ${entree}   -c:v libvpx-vp9 -qmax 40 -qmin 30 -b:v 1M -r ${fps} -pix_fmt yuv420p -g 10 -c:a libvorbis -q:a 4 -f webm -vf scale=-1:360 -movflags +faststart -y ${sortie}.webm

• Par défaut un fichier pdf est compressé, pour mieux explorer sa structure, il faut au préalable le décompresser :
  • Décompresser le fichier : pdftk a.pdf output b.pdf uncompress
  • Lire le fichier : vi b.pdf

• On vectorialise le fichier avec le logiciel Inkscape et on enregistre le fichier au format ".eps"
• On convertit l'image en un fichier metapost :
   pstoedit -f mpost a.eps a.mp

• On crée le fichier /etc/texmf/texmf.d/90_perso.cnf :

  TEXMFLOCAL = /home/_data/myLocaltexmf
  TEXMFVAR = /home/_data/myLocaltexmf

• Puis on lance les deux commandes

  update-texmf
  mktexlsr

  La dernière commande à créer des fichiers. On ajuste les droits des fichiers "ls-R" :
   chmod 755 /home/_data/myLocaltexmf/ls-R
• Sur Ubuntu, pour qu'il prenne en charge mon dossier de fonts, j'ai été obligé de faire

  updmap-sys --enable Map=psfonts.map
  updmap-sys

apt-get --no-install-recommends install texlive-{base,generic-recommended,,latex-base,latex-recommended}

apt-get --no-install-recommends install texlive-{base,bibtex-extra,generic-recommended,fonts-recommended,font-utils,latex-base,latex-recommended,pictures} texlive-lang-french

• Avoir quelques informations :
   host yahoo.fr
• Avoir plus d'informations sur l'enregistrement DNS du nom de domaine :
   host -a yahoo.fr

• Pour connaitre l'adresse ip du site yahoo.fr, on lance la commande :
   nslookup yahoo.fr
• Pour effectuer la résolution de nom en utilisant un serveur DNS particulier (ici 8.8.8.8) :
   nslookup yahoo.fr 8.8.8.8

• Télécharge le fichier a.iso
   wget http://monsite.fr/a.iso
  Reprend un téléchargement qui a été interrompu :
   wget -c http://monsite.fr/a.iso
• Limite la vitesse de téléchargement :
   wget --limit-rate=10k http://monsite.fr/a.iso
• Impose le nombre de reconnexion avant d'abandonner le téléchargement :
   wget --read-timeout=50 --tries=5000 http://monsite.fr/a.iso
• Va chercher les URL dans chaque ligne d'un fichier pour les télécharger un à un :
   wget -i liste.url
• Lors du téléchargement depuis un site https, pour ne pas vérifier l'authenticité du certificat :
   wget --no-check-certificate http://chingatome/index.php
• Lorsque les paramètres passés dans une url ont des caractères spéciaux, il faut entourer la chaine de caractères de guillemets :
    wget "http://chingatome.net/index.php?p=t%0AC"

• Télécharge le fichier index.html et suit tous les liens de ce fichiers :
   wget -r http://monsite.fr/index.html
• Télécharge le fichier index.html et suivra seulement les liens sous l'adresse http://monsite.fr/doc
   wget -np -r http://monsite.fr/doc/index.html
• Télécharge le fichier index.html et téléchargera seulement les liens présent dans ce fichier mais pas les suivants : on parlera de récursivité de niveau 1
   wget -r -l 1 http://monsite.fr/index.html
• Pour un site demandant une authentification, il faut d'abord s'authentifier sur le site et récupérer les cookies de celui-ci. L'instruction '-R "*logout*"' evite de télécharger la page de déconnexion :
   wget -k -r -E -l2 -R "*logout*" --load-cookies=./cookies.txt "http://monsite.fr/doc"

• Pour scanner les réseaux disponibles autour de la carte réseau et avoir des informations sur eux :
   iwlist wlan0 scanning
• Affiche les modes d'authentifications disponibles pour l'interface wlan0 :
   iwlist wlan0 auth
• Affiche les fréquences disponibles pour l'interface wlan0 :
   iwlist wlan0 channel

wlan0 IEEE 802.11g ESSID:"ADM"
      Mode:Managed Frequency:2.462 GHz Access Point: 00:C0:CA:19:79:77
      Bit Rate=1 Mb/s Tx-Powe27 dBm
      Retry long limit:7 RTS thr:off Fragment thr:off
      Encryption key:1111-1111-111-111-1111-1111-11
      Power Management:off
      Link Quality=70/70 Signal level=-32 dBm
      Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
      Tx excessive retries:0 Invalid misc:0 Missed beacon:0

• ESSID : nom du point d'accès auquel on est connecté
• Bit Rate=1 Mb/s Tx-Powe27 dBm : vitesse de connexion et puissance du signal
• Mode Managed : une carte wifi peut être initialisée dans les différents états :
  • Managed : l'interface est alors un client se connectant à des points d'accès.
  • Ad-Hoc : ce mode permet à deux interfaces à se connecter entre elles directement sans l'intervention d'un point d'accès.
  • Master : l'interface joue le rôle d'un point d'accès.
  • Secondary : l'interface joue le rôle d'un autre point d'acc\'es assujeti à un premier.
  • Repeater : l'interface r\'ep\`ete les signaux pour améliorer la portée du signal.
  • Monitor : l'interface ne peut que recevoir les paquets {\it(utilis\'e poru l'analyse d'un r\'eseau)}.
  On modifie le mode de la carte wifi par la commande suivante :
   iwconfig wlan0 mode Managed

• Affiche seulement les interfaces activées :
   ifconfig
• Affiche toutes les interfaces du système :
   ifconfig -a
• Affiche les informtions relatives seulement à l'interface eth0
 ifconfig eth0

• On démonte et remonte une interface dans le système en utilisant respectivement les commandes :
   ifconfig eth0 down et ifconfig eth0 up
• Pour changer l'adresse ip de l'interface eth0 et lui affecter un masque de réseau :
   ifconfig eth0 192.168.50.1 netmask 255.255.255.0
• Pour modifier l'adresse mac de l'interface eth0 :
   ifconfig eth0 hw ether 00:79:48:BA:AD:31
• La métrique d'une carte permet de choisir une interface lorsqu'un paquet peut être routé de plusieurs manières et le mtu (Maximum Transfert Unit) est la taille d'une trame :
   ifconfig eth0 metric 20 mtu 1500
• Pour mettre l'interface en mode "promiscuous" : la carte écoutera alors tous les paquets même ceux qui ne lui sont pas destinés :
   ifconfig eth0 promisc
  et pour désactiver : ifconfig eth0 promisc

• Les lignes suivantes, placées à la fin du fichier /etc/ssh/sshd_config permettent de "chrooté" tout log d'utilisateur du groupe "groupUtilisateurs"

  Match Group groupUtilisateurs
    ChrootDirectory /home/utilisateurs
    X11Forwarding no
    AllowTcpForwarding no

• le package "jailkit" qui offre des outils pour créer des chroot dir et des "shell bridé.
  
  
  Ici, je ne me sers que des outils que ce package offre pour créer un "chroot dir" sur mesure.
  
  
  Voici la procédure d'installation :
  • Télécharger la source sur le site https://olivier.sessink.nl/jailkit/
  • Compiler la source et créer un fichier ".deb" en lançant la commande :
     ./debian/rules binary
    Puis, on installe le package Debian
  • Puis, on finit de peupler la racine de notre chroot à l'aide de la commande suivante :
     jk-init -v -j /home/utilisateurs limitedshell basicshell rsync scp
    Seront placées seulement les commandes minimales d'un bash et la possibilité de travailler avec rsync
    Remarque: dans le fichier "/etc/jailkit/jk_init.ini", j'ai rajouté la device "/dev/null" afin que la commande scp marche

• Voici les commandes utilisées pour configurer à minima une carte réseau :
  • on definit une adresse loopback :
     ip route add 127.0.0.0/8 dev lo scope link
  • Monte la carte reseau
     ip link set eth0 up
  • Affecter une adresse ip et un masque sous reseau
     ip addr add 192.168.0.100/24 dev eth0
  • Ajoute une route pour le reseau local
     ip route add 192.168.0.0/24 dev eth0
  • Ajoute une route vers la passerelle
     ip route add default via 192.168.0.254
  Puis définir manuellement le fichier /etc/resolv.conf avec le contenu :
   nameserver 8.8.8.8
• Voici une commande pour vider la table arp du système :
   ip -s -s neigh flush all

netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | \
   sort | uniq -c | sort -n

• Pour effacer une entrée dans la table de routage :
   route del -net 0.0.0.0 gw 192.168.178.1 netmask 0.0.0.0 dev eth0

• Filtrage par : maceth.addr==18:a6:f7:a6:17:14

#!/usr/bin/env python
import os
import subprocess
import re
import threading
regex = re.compile(r"(?P\d+) received")
class Ping(threading.Thread):
    def __init__(self, hostname):
        threading.Thread.__init__(self)
        self.hostname = hostname
    def run(self):
        p = subprocess.Popen(["ping", "-c1", "-w100", self.hostname], stdout=subprocess.PIPE).stdout.read()
        r = regex.search(p.decode())
        try:
            if(r.group("received") == "1"):
                print("L'adresse %s existe!" % self.hostname) 
        except:
            pass
for i in range(254):
    hostname = "192.168.0.%i" % (i+1)
    background = Ping(hostname)
    background.start()

• squid -k shutdown : éteint le serveur
• rm -rf /home/squid : efface le contenu du dossier du cache
• squid -z : relance la création du cache

• squid -k parse
• squid -k check

• Pour suivre l'accès au serveur squid :
   tail -f /var/log/squid/access.log | awk '{print $3 " " $4 " " $7}'

• Sans oublier que même les sockets ouverts dans un système se fait via des fichiers (/proc/fd), l'option -i4 permet de ne sélectionner que les connexion ouverte en ipv4 :
   lsof +M -i4

• nmap -sP 192.168.51.0/24 : teste la présence de machine allumé dans le réseau 192.168.51.0/24.
• nmap -sS 192.168.51.1 : teste tous les ports TCP sur la machine 192.168.51.1.
• nmap -sU 192.168.51.1 : teste tous les ports TCP?UDP sur la machine 192.168.51.1.
• nmap -p 1-5000 192.168.51.1 : teste les ports de $1$ \`a $5000$ sur la machine 192.168.51.1
• nmap -T Aggressive -A -v 127.0.0.1 -p 1-5000 : methode de scan agressive pour tester l'ouverture de port et le programme à l'écoute.

• Pour tester si un serveur ntp peut être attaqué par une attaque NTP par amplification.
   ntpdc -n -c monlist 95.142.161.42 or ntpq -c rv 10.8.0.1
• Pour mettre à jour manuellement un client :
   ntpdate -s 10.0.0.4

ipv4     2 tcp      6 4316 ESTABLISHED src=10.0.2.115 dst=193.194.74.19 sport=40318 dport=61661 packets=8 bytes=420 src=193.194.74.19 dst=192.168.0.253 sport=61661 dport=40318 packets=1 bytes=40 [ASSURED] mark=0 zone=0 use=2

• tcp 6 4316 ESTABLISHED : c'est une connexion tcp qui a le statut "établie", elle restera active 4316 secondes. A la moindre activité de cette connexion, le temps restant sera réinitialisé à la valeur par défaut.
• src=10.0.2.115 dst=193.194.74.19 sport=40318 dport=80 packets=8 bytes=420 : la connexion a été initialisé par 10.0.2.115 par son port 40318 à destination de 193.194.74.19 sur son port 80.
  La connexion sortante a utilisé 420 octets
• src=193.194.74.19 dst=192.168.0.253 sport=61661 dport=40318 packets=1 bytes=40 : la destination a répondu à la passerelle 192.168.0.253 sur son port 40318.
  La connexion entrante a utilisée 40 octets.
• mark=0 : permet de savoir si la connexion est marquée.

• conntrack -F : permet d'effacer la table de routage
• conntrack -L -s 10.0.2.115 | wc -l : permet de connaitre le nombre de connexion initié par l'hote 10.0.2.115

• Active la lecture des magic-paquets pou un allumage wol (Wake-on-lan) :
   ethtool -s eth0 wol g
• Pour connaitre les drivers de la carte réseau wlan0 :
   ethtool -i wlan0 | grep driver

nameserver 192.168.51.1
nameserver 41.207.177.17
search admin.lfl

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         192.168.50.1    0.0.0.0         UG    1024   0        0 wlan0
192.168.50.0    *               255.255.255.0   U     0      0        0 wlan0

• Pour afficher la table route sans résolutions de noms (plus rapide) :
   route -n
• Pour effacer la table de routage :
   ip route flush table main
• Pour connaitre le chemin mis en cache vers un hote
   ip route get 8.8.8.8
  

• Pour afficher les régles iptables avec un numero permettant de les identifier :
   iptables -L --line-numbers
  Pour effacer une regle :
   iptables INPUT -D 3
• Les modifications effectuées sur iptables s'effacent à cnaque redémarrage. Pour sauvegarder la configuration :
  • Pour enregistrer : iptables-save > a
  • Pour restaurer la configuration venant d'un fichier : iptables-restore < a

• La liste des utilisateurs d'un ordinateur se trouve dans la clé :

  \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

• Voici des modificiations faites sur l'utilisateur par défaut d'un système Windows afin qu'elle se propage à la création de tout nouveau utilisateur.
  Elles permettent de bloquer pas mal d'action d'un utilisateur :
  • Ouvrir une session d'administrateur
  • Affichez les fichiers cachés et fichiers système en allant dans le panneau de configuration et dans "Options des dossiers"
  • Lancez l'utilitaire regedit
  • Sélectionnez la clé "HKEY_USERS" et actionnez la commande "Fichier -> charger la ruche" et sélectionner le fichier c:\Utilisateurs\nomUtilisateur\NTUSER.DAT
    Saissisez le nom "xxx" pour monter cette ruche
  • Puis lancez la commande "Fichier -> Importer ..." en sélectionnant le fichier code.reg
  • Dans regedit, sélectionnez la clé "HKEY_USERS\xxx" et actionnez la commande "Fichier -> décharger la ruche"

Windows REgistry Editor Version 5.00
[HKEY_USERS\xxx\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoSelectDownloadDir" = dword:00000001
"NoFindFiles" = dword:00000001
"NoBrowserContextMenu" = dword:00000001
"NoBrowserClose" = dword:00000001
"NoNavButtons" = dword:00000001
"NoFileNew" = dword:00000001
"NoFileOpen" = dword:00000001
"NoBrowserSaveAs" = dword:00000001
"NoPrinting" = dword:00000001
"DisableImportExportFavorites" = dword:00000001
"NoViewSource" = dword:00000001
"NoTheaterMode" = dword:00000001
"NoFavorites" = dword:00000001
"RestGoMenu" = dword:00000001
"NoBrowserOptions" = dword:00000001
"NoOpeninNewWnd" = dword:00000001
[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalMachineRun" = dword:00000001
"DisableLocalMachineRunOnce" = dword:00000001
"DisablePersonalDirChange" = dword:00000001
"DisallowCpl" = dword:00000001
"NoComputersNearMe" = dword:00000001
"NoControlPanel" = dword:00000001
"NoDriveAutoRun" = dword:000000ff
"NoDriveTypeAutorun" = dword:000000ff
"NoHardwareTab" = dword:00000001
"NoPropertiesRecycleBin" = dword:00000001
"NoRunasInstallPrompt" = dword:00000001
"NoSimpleStartMenu" = dword:00000001
"NoSetTaskbar" = dword:00000001
"NoWindowsUpdate" = dword:00000001
"RestrictCpl" = dword:00000001
"StartMenuLogOff"
[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = dword:00000000
"HideFileExt" = dword:00000001
"HideIcons" = dword:00000000
"SuperHidden" = dword:00000000
"IconsOnly" = dword:00000000
"ShowsSuperHidden" = dword:00000000
[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"NoEntireNetwork" = dword:00000001
[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Disable Change Password" = dword:00000001
"DisableRegistryTools" = dword:00000001
"DisableTaskMgr" = dword:00000001
"HideLegacyLogonScripts" = -
"HideLogoffScripts" = -
"HideLogonScripts" = -
"Shell" = -
[HKEY_USERS\xxx\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"RunLogonScriptSync" = dword:00000000
[HKEY_USERS\xxx\Software\Policies\Microsoft\Windows\Installer]
"AlwaysInstallElevated" = dword:00000001

• pdbedit -L : affiche tous les utilisateurs Samba
• pdbedit -v thomas : affiche des informations sur l'utilisateur thomas
• pdbedt -a newuser : ajoute un nouvel utilisateurSamba.
• pdbedt -a -m newcomputer : ajoute un nouvel ordinateurSamba.
• On peut activer, désactiver un compte via cette commande :
  • Pour activer : pdbedit -r -u th.castanet -c "[D]"
  • Pour activer : pdbedit -r -u th.castanet -c "[ ]"

Unix username:        guest
NT username:          
Account Flags:        [U          ]
User SID:             S-1-5-21-1188356786-600583981-140535690-1002
Primary Group SID:    S-1-5-21-1188356786-600583981-140535690-513
Full Name:            
Home Directory:       \\serveuradmin\guest
HomeDir Drive:        
Logon Script:         
Profile Path:         \\serveuradmin\guest\profile
Domain:               SERVEURADMIN
Account desc:         
Workstations:         
Munged dial:          
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    lun., 07 juin 2010 22:37:10 CEST
Password can change:  lun., 07 juin 2010 22:37:10 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

• "[U]" : le compte est celui d'un utilisateur normal ;
• "[W]" : le compte est celui d'une machine pour se connecter au domaine ;
• "[N]" : le mot de passe n'est pas obligatoire ;
• "[D]" : le compte est d\'esactiv\'e ;
• "[H]" : un dossier personnel est obligatoire ;
• "[L]" : le compte se bloque automatiquement (apr\`es expiration du mot de passe) ;
• "[X]" : le mot de passe n'expire pas ;

• testparam : cet utilitaire permet de tester l'intégrité du fichier smb.conf
• smbstatus : affiche les connexions actives au serveur
• nmblookup
  Permet de résoudre des noms Netbios
  • Recherche de l'adresse ip : nmblookup pc-7
  • Recherche du nom Netbios : nmblookup -A 192.168.51.230
  • Pour connaitre le "master browser" : nmblookup -M -
• findsmb intérroge le voisinage local pour avoir le nom Netbios et l'IP des ordinateurs connectés au groupe de travail.
• smbtree : permet de lister les partages sur un serveur.
• La commande net :
  • net SAM SET PWDMUSTCHANGENOW root yes : oblige l'utilisateur root à changer son mot de passe à la prochaine exécution
  • net user INFO c.wilson : pour connaitre les informations de l'utilisateur c.wilson
  • net getlocalsid : affiche le SID du domaine
  • net setlocalsid S-1-5-21-20043454-3907201459-4213964173 : change le SID du docmaine
• La commande tdbbackup permet de faire la sauvegarde de la base de données tdbsam.

• smbclient -L=//192.168.51.253
  Cette commande permet de lister tous les partages du serveur
• smbclient -Uroot //192.168.51.2/admin
  Permet de connecter l'utilisateur root au partage admin du serveur.

• recursive : active/desactive le parcours de sous-répertoire par une commande
• prompt : active/désactive la demande de confirmation de copie d'un fichier
• mput * : copie l'intégralité d'un dossier local (d'où on s'est loggué sous smbclient) dans le dossier courant exploré par smbclient

• Il faut relier les groupes administrateurs (gid 512), ... avec des groupes définis dans le système Linux. Pour cela, on utilise les commandes suivantes :

  groupadd adminsDomaine
  groupadd usersDomaine
  groupadd invitesDomaine
  groupadd machinesDomaine
  net groupmap add rid=512 ntgroup="Administrateurs du domaine" unixgroup=adminsDomaine
  net groupmap add rid=513 ntgroup="Utilisateurs du domaine" unixgroup=usersDomaine
  net groupmap add rid=514 ntgroup="Invites du domaine" unixgroup=nogroup #desactive ce compte
  net groupmap add rid=515 ntgroup="Machines du domaine" unixgroup=machinesDomaine

  • Pour connaitre les groupes existants, il faut lancer la commande : net groupmap list
• Pour qu'une machine ait son approbation du domaine, il faut créer un compte machine. On crée d'abord un compte dans le système :
   useradd -d /var/lib/samba -s /bin/false cdi-0$
  Ajoute la machine dans le serveur Samba :
   pdbedit -m -a cdi-0
• Il est possible de demander à Samba d'ajouter automatiquement des utilisateurs, des machines au compte Samba. Il se chargera de créer leur "homologue" sous Linux et d'en créer le lien.
  Cela s'effectue via les paramètres dans smb.conf :
   add machine script, add user script, add group script
  Et leur pendant pour effacer :
   delete machine script, delete user script, delete group script.

• les partages spéciaux
  Il y a trois partages spéciaux :
  • [global] : les paramètres de configurations définit ici, seront les valeurs par défaut utilisées par les autres partages
  • [homes] : définit les paramètres des dossiers personnels de chaque utilisateur Samba
  • [printers] : définit les paramètres pour le service de partage d'impression
• les autres partages
  Sont définit à la demande.

[Lecteur Eleve]
 comment = Dossier de partage
 path = /home/lecteurs/eleve/%U
 valid users = @eleve
 force group = eleve
 browseable = yes
 read only = no
 writeable = yes
 wide links = yes
 create mask = 0700
 force create mode = 0700
 inherit owner = yes
 hide dot files = yes
 hide files = /RECYCLER/$RECYCLE.BIN/

• path = /home/lecteurs/eleve/%U : définit le dossier linux qui sera pointé par ce partage
• valid users = @eleve : seul les utilisateurs appartenant au groupe eleve seront autorisés à accéder à ce dossier
• force group = eleve : toute création de fichier se verra attribuer le groupe eleve
• browseable = yes : permet à ce partage d'être listé dans l'ensemble des partages délivrés par le serveur Samba
• read only = no : en lecture seule?
• writeable = yes : accès en écriture ?
• wide links = yes : les liens linux seront suivis au cours du parcours de ce partage
• create mask = 0700 : masque sur les permissions des fichiers lors de leur création
• force create mode = 0700 : ce paramètre est appliqué après l'application du paramètre create mask et attribue les bits de cette valeur octale dans les permissions du nouveau ficheir.
• inherit owner = yes : les fichiers créés auront pour propriétaire l'utilisateur courant.
• hide dot files = yes : cache les fichiers dont le nom commence par un point (fichiers cachés de linux)
• hide files = /RECYCLER/$RECYCLE.BIN/ : ces fichiers ou dossiers ne seront pas affichés et accessible par les clients

• Serveur :
  • workgroup = liberte.peda : définit le nombre du groupe de travail ou du domaine utilisé
  • netbios name = serveurpeda : définit le nom netbios de la machine
  • server string = Serveur Liberte : nom de la machine affichée
• Sécurité :
  • security = domain : avec cette valeur, votre serveur samba se transforme en un controleur de domaines et les machines utilisant le serveur doivent être inclus dans le domaine.
    Le mode user fait fonctionner Samba comme un serveur de fichiers, les machines ne sont pas obligées d'avoir joint le domaine
  • map to guest = Bad User : lorsque l'authentification Samba réussit mais lorsque le système Linux ne trouve pas l'utilisateur lié, le log peut être rejeter ou transférer vers le compte invité
  • guest ok = no : permet d'autoriser la connexion au serveur sans mot de passe. L'utilisateur se voit alors attribuer l'identité définit par le paramèetre "guest account = nobody"
  • encrypt passwords = true : code ou non les mots de passe en mémoire.
  • unix password sync = no : lorsqu'un utilisateur change son mot de passe (Samba), ce paramètre permet de définir si le système Linux essaye de changer ou non le mot de passe de l'utilisateur linux associé.
  • obey pam restrictions = no : demande de suivre la procédure d'authenficiation voulue par PAM (désactivé si encrypt passwords = true). A voir aussi l'incidence sur pam password change = no :
  • dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd : permet d'interdire le parcours de ces dossiers par les clients Samba. Ils seront montrés comme vide.
  • usershare allow guests = no : les partages des utilisateurs sont-ils accessibles par des clients sans authentification
• Paramètres globaux :
  • unix extensions = no : pour les clients linux, si ce paramètre est activé sur le serveur et le client, le parcours des liens s'effectuera sans problème.
  • load printers = no : demande au serveur Samba ne pas acter comme serveur d'impression. D'autres options liées : printing = bsd, printcap name = /dev/null, show add printer wizard = no, disable spoolss = yes :
  • debug timestamp = yes : ajoute le timestamp sur chaque log
  • log file = /var/log/samba/log.%m : définit le fichier de log pour chaque utilisateur
  • max log size = 10000 : définit la taille maximale de chaque fichier de log
  • log level = 3 : définit le niveau de verbose des fichiers de log
  • syslog only = no : définit si les logs des serveurs smbd et nmbd se font ou non dans le fichier /var/log/syslog ou dans les fichiers correspondants du dossier /var/log/samba/.
  • syslog = 1 : niveau de verbose pour les messages des serveurs
  • name resolve order = wins host bcast : définit l'ordre par lequel Samba va traduire des noms d'hotes en adresse IP
  • time server = yes : autorise les clients a synchroniser leur horlog
• Gestion des fichiers :
  • case sensitive = no : les clients window ne sont pas sensibles à la casse et autorisé la sensibilité à la casse peut les empêcher de voir tous les fichiers. Seul les clients linux peuvent avoir un intéret à ce paramètre.
  • preserve case = yes : si ce paramètre a la valeur no, alors le default case sera appliqué pour la création de nouveaux fichiers.
  • default case = lower : en lien avec preserver case
  • short preserve case = yes : cette option ne concerne que la casse des nouveaux fichiers créés dont le nom est de la forme 8.3
  • veto files = /lost+found/aquota.group/ : définit la liste de fichiers non-visible ou non-accessible par le serveur Samba
  • create mask = 0744 : définit le masque par défaut lors de la création de fichiers.
  • directory mask = 0750 : définit le masque par défaut lors de la création de dossier.
  • hide dot files = yes : cache les fichiers dont le nom commence par un point (fichier caché de Linux).
  • follow symlinks = yes : autorise ou interdit le suivi des liens symboliques de linux
  • wide links = no : ce paramètre permet à Samba de cacher ou d'afficher les liens définis sous Linux. Attention, aux failles de sécurité, les clients linux peuvent créer des liens symboliques.
• Domaine
  • domain logons = yes : ce paramètre permet au serveur d'être utilisé comme serveur d'authentification pour les machines clientes. Le serveur Samba devient un controleur de domaine
    Avec l'option domain master = yes, cette commande permet à Samba de fonctionner comme un PDC (Samba Primary Domain Controller). Sinon il fonctionnera comme un BDC (Backup Domain Controller)
  • logon path = \\%L\profiles\%U : définit le chemin "windows" du dossier personnel de chaque utilisateur
  • logon drive = Q: : définit la lettre du lecteur réseau qui sera associé à chaque dossier personnel des utilisateurs
  • logon script = %U.bat : définit le script à lancer sur la machine cliente lors de la connexion de chaque utilisateur
• Resolution de noms
  • local master = yes : demande au serveur de participer à l'élection "locale" de "master browser" référençant toutes les machines du groupe de travail.
  • domain master = yes : définit le serveur comme un serveur de domaine pour le groupe workgroup
  • wins support = yes : demande à nmbd de fonctionner comme un WINS serveur
  • os level = 65 : cette option permet de valoriser ou non le serveur Samba lors de l'élection du "master browser"

• Voici les trois packages essentiel pour samba :
  • samba qui installera le serveur
  • samba-clients qui permet de se connecter à des partages samba notamment par ligne de commande
  • cifs-clients qui permet de montrer des partages samba dans le système Linux
    Voici un exemple de ligne de commande montant un partage cifs :

    mount -t cifs //10.0.0.2/th.castanet /homePoint/th.castanet -o username=th.castanet,domain=liberte.peda,uid=th.castanet,gid=nogroup

• Le serveur Samba réside en deux services
  • smbd qui est le noyau du serveur : il gère l'authentification des utilisateurs et la gestion des dossiers partégés.
  • nmbd qui s'occupe de la résolution des noms NETBIOS et joue le rôle du serveur WINS
  Pour savoir si les deux sont lancés dans le système, il faut lancer la commande :
   ps -A | grep mbd
• A propos des utilisateurs
  Les différents utilisateurs de Samba sont stockés par défaut dans une base de données nommée "tdbsam" (Trivial DataBase for Samba) mais il est également possible d'utiliser d'autres bases de données comme mysql ou ldap
  Important : le serveur Samba est essentiellement un serveur d'authentification et de fichiers. Or, pour qu'un utilisateur accède à un fichier ou à un lecteur réseau via Samba, il faut avoir conscience des deux choses suivantes :
  • il faut que l'utilisateur soit identifié par Samba (via un utilisateur interne à Samba
  • il faut que l'utilisateur Linux lié à l'utilisateur Samba ait les droits sur le fichier ou le lecteur réseau demandé.

• Pour le chargement par défaut du profil d'un utilisateur, dans le partage [netlogon], doit se trouver les deux dossiers :
   Default User ; Default User.V2
• Pour avoir un profil obligatoire ou mandataire, on nomme le fichier :
   NTUser.DAT ; NTUser.MAN
• Pour fermer toutes les connexions au serveur :
   smbcontrol smbd close-share hal
• Pour annuler les profils itinérants, on met dans smb.conf :
   logon home = et logon path =
• La commande getenv group permet d'avoir des informations sur les groupes

• Pour accepter les systèmes Windows 7 :

  HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
  HKLM\System\CCS\Services\LanmanWorkstation\Parameters
              DWORD  DomainCompatibilityMode = 1
              DWORD  DNSNameResolutionRequired = 0

• Pour les machines Windows XP :

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
  "requiresignorseal"=dword:00000000
  "signsecurechannel"=dword:00000000 
  ; Do not check for user ownership of Roaming Profile Folders
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
  "CompatibleRUPSecurity"=dword:00000001

• Pour effacer les profils itinérants :

  HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\
  winlogon\"DeleteRoamingCache"=dword:0000000

• Utiliser l'astuce suivante pour monter un lecteur réseau plus rapidement :
   if not exist H: net use H: \\LINUX\HOMES > nul
• Pour qu'un compte n'expire jamais sous Windows, on lance :
   wmic UserAccount WHERE "NAME='thomas'" SET PassWordExpires="FALSE"
• Pour connaitre comment est défini le répertoire personnel d'un utilisateur et pour connaitre les utilisateurs ayant un profile sur l'ordinateur, il faut voir la clé de la base de registre :
   HKLM\Software\Microsoft\Windows NT\Current Version\ProfileList

• Paramètres globaux
  • authoritative : permet au serveur d'envoyer des packets DHCPNAK indiquant au client que le serveur fait autorité sur le réseau
  • default-lease-time 10800 : le temps par défaut de validiter de l'attribution d'une adresse à un client
  • max-lease-time 36000 : temps maximal de validiter d'une adresse attribuer à un client
  • interfaces="eth0" : définit les interfaces sur lesquelles le serveur écoutera.
  • allow unknown-clients : permet d'accord les clients n'ayant pas de déclaration host de soumettre des requêtes DHCP.
    A l'opposé, on pourra utiliser deny unknown-clients;
• Parametre pour le serveur TFTP
  • filename "pxelinux.0" : définit le fichier de démarrage nécessiare au client
  • next-server 10.0.0.2; : définit le serveur ayant le fichier de démarrage
  • server-name "10.0.0.2"; : informe le client sur le serveur de démarrage
  • allow booting; : authorise le serveur à répondre au demande de boot
  • allow bootp; : authorise le serveur à repondre aux requêtes bootp
• Parametre pour DNS
  • ddns-update-style none
  • ddns-domainname "liberte.peda";: le suffixe ajouté aux noms des ordinateurs pour former un fully-qualified domain-name (FQDN).
  • ddns-updates off; : désactive la mise à jour du serveur DNS lorsqu'un nouveau client recoit un nouveau bail DHCP.
  • ignore client-updates; : n'autorise pas le client à demander la mise à jour de son propre enregistrement DNS
• Voici la déclaration d'une zone DHCP :

  subnet 10.0.0.0 netmask 255.255.255.0 {
   option domain-name-servers 10.0.0.4;
   option routers 10.0.0.1;
   option subnet-mask 255.255.255.0;
   option ntp-servers 10.0.0.4;
   host user {hardware ethernet 00:04:75:D9:7A:CA; fixed-address 10.0.0.4; }
   range 10.0.0.100 10.0.0.200;
  }

  Voici quelques explications :
  • toutes les interfaces du serveur ayant une adresse vérifiant 10.0.0.0 avec le masque 255.255.255.0 utiliseront ces définitions dès qu'une requête DHCP leur sera soumise.
  • domain-name-servers : définit le serveur DNS utilisés par les clients
  • routers : définit la passerelle
  • subnet-mask : le masque sous-réseau utilisé par les clients
  • ntp-servers : définit le serveur temps utilisé par les clients
  • la ligne host attribuera une "ip fixe" à un ordinateur en fonction de son adresse mac

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

• /etc/bind/named.conf.local

  zone chingatome.net { 
          type master;
          file "/etc/bind/chingatomeMaster";
          allow-query { any; };
  };

  Ici, mon serveur résoudra toutes les requêtes DNS liées au domaine chingatome.net. Les définitions nécessaires se trouvent dans le fichier /etc/bind/chingatomeMaster
• /etc/bind/named.conf.options

  options {
          directory "/var/cache/bind";
          forwarders { 8.8.8.8; };
          dnssec-validation auto;
          auth-nxdomain no;    # conform to RFC1035
          listen-on-v6 { any; };
          // PERSO
          recursion yes;
          allow-query { 10.8.0.0/24; };
  };

  L'instruction forwarders permet de transformer mon serveur en vrai serveur DNS, les requêtes demandant la résolution pour un nom de domaine différent de chingatome.net seront sous-traitées par le serveur 8.8.8.8 et renvoyé au client.
• /etc/bind/named.conf.default-zones
  Le fichier définit par défaut des zones DNS tel que localhost

$ORIGIN chingatome.net.
$TTL 86400
@               IN      SOA     www.chingatome.net. root.chingatome.net. ( 205663 604800 86400 2419200 604800 )
@                               IN      NS      www.chingatome.net.
www                             IN      A       95.142.161.42
chingatome.net.                 IN      A       95.142.161.42
dns.chingatome.net.             IN      A       95.142.161.42
smtp.chingatome.net.            IN      A       95.142.161.42
chingatome.net.                 MX      10      smtp.chingatome.net.
*                               IN      CNAME   www

• Le nombre 205663 correspond à la version de ce fichier. Elle doit être incrémentée à chaque changement pour les autres serveurs DNS se mettent à jour. Les autres nombres définissent les temps de validité des enregistrements.
• @ IN NS www.chingatome.net.
  indique le serveur qui va gérer cette zone.
• www IN A 95.142.161.42
  définit un enregistrement. Le nom de www ne se terminant pas avec un point, elle sera étendu en www.chingatome.net (avec $ORIGIN).
• chingatome.net. MX 10 smtp.chingatome.net.
  définit le serveur de mail
• * IN CNAME www
  Cet enregistrement permet de faire pointer tous les autres demandes vers le serveur www.chingatome.net

• Affiche des informations sur le serveur woezon.net :
   dig woezon.net
• Affiche les enregistrements MX du serveur woezon.net :
   dig MX woezon.net
• Affiche succintement les enregistrements MX du serveur woezon.net :
   dig MX woezon.net +short
• Affiche les enregistrements NS du serveur woezon.net :
   dig NS woezon.net
• Effectue la recherche DNS inverse de l'adresse IP 95.142.161.42 :
   dig -x 95.142.161.42 +short
• Demande les champs TXT de chingatome.fr sur le serveur 8.8.8.8 :
   dig txt 95.142.161.42 @8.8.8.8

• Lorsqu'on modifie un fichier manuellement de config "/etc/ldap/slapd.d", le message d'erreurs suivant peu apparaitre :
   ldif_read_file: checksum error on "/etc/ldap/slapd.d/cn=config/olcDatabase={1}mdb.ldif"
  Il faut alors modifier la somme de controle CRC32 du fichier pour valider son usage par le serveur.
  • On installe le package "libarchive-zip-perl" pour avoir la commande "crc32" et on recherche le crc32 du nouveau fichier en faisant :
    crc32 <(cat /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif | tail -n +3)
  • Puis on remplace, dans la seconde ligne commenté du fichier en question, l'ancienne somme de controle par la nouvelle.
• Voici les manipulations à accomplir pour changer le nom de domaine de la base
  • modifier à la main le fichier /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{1\}mdb.ldif et mettre le CRC32 a jour
  • sauvegarder l'ensemble de la base par slapdcat dans un fichier, nommé ici a.ldif, et modifier les noms de l'ancien domaine
  • Effacer l'ancienne base /var/lib/ldap.
  • Tester la nouvelle config :
     slapadd -b "dc=my,dc=new,dc=ldap,dc=domain" -v -u -l a.ldif
    Puis on l'enregistre :
     slapadd -b "dc=my,dc=new,dc=ldap,dc=domain" -v -l a.ldif

• installer le package libnss-ldap
• Ajouter au fichier /etc/nsswitch.conf le mot-clé ldap aux deux lignes passwd, shadow et group :

  passwd: compat ldap
  group: compat ldap
  shadow: compat ldap

base dc=liberte,dc=peda
host 127.0.0.1
#uri ldapi:///127.0.0.1
#uri ldap:///127.0.0.1
#uri ldaps:///127.0.0.1
rootbinddn cn=admin,dc=liberte,dc=peda
nss_base_passwd ou=utilisateurs,dc=liberte,dc=peda
nss_base_shadow ou=utilisateurs,dc=liberte,dc=peda
nss_base_group ou=groupes,dc=liberte,dc=peda
nss_map_attribute homeDirectory description

• de boucler le nom du serveur vers la machine locale à l'aide du fichier /etc/hosts :
   127.0.0.1 localhost serveur.liberte.ped
• de mettre le mot de passe de l'utilisateur dans le fichier /etc/libnss-ldap.secret avec le mode 0600.
• Peut etre configurer de même PAM avec les deux fichiers pam_ldap.conf et pam_ldap.secret
• Le module nscd met en cache les informations sur les utilisateurs. Pour vider le cache, exécuter la commande :
   service nscd force-reload
  ou désactiver le cache pour les group :

  nscd --invalidate=group
  nscd --invalidate=hosts
  nscd --invalidate=passwd
  nscd --invalidate=netgroup

• Les erreurs de types "bdb_equality_candidate" dans le fichier /var/log/syslog peuvent être évitées en faisant
   olcDvIndex : objectClass,uid,memberUid,cn,sambaSID eq
• Si on souhaite intégralement ré-installer le serveur LDAP :

  service slapd stop
  apt-get purge slapd
  rm -R /var/lib/ldap
  rm -R /var/lib/sldap
  apt-get install slapd
  dpkg-reconfigure slapd

• Pour lancer le slapd en débug :
  /usr/bin/slapd -d 1

• Saisir le texte dans le fichier motPasse.ldif

  dn: cn=config
  changetype: modify
  dn: olcDatabase={0}config,cn=config
  changetype: modify
  replace: olcRootPW
  olcRootPW: {MD5}nvlMotPasse
  dn: olcDatabase={0}config,cn=config
  changetype: modify
  delete: olcAccess

• on effectue la modification :
   ldapmodify -Y EXTERNAL -H ldapi:/// -f rootpw_cnconfig.ldif

• se connecter avec l'utilisateur cn=admin,cn=config
• dans le navigateur, décochez la case "Récupérer..." et choisir la localisation "cn=config"

• Localement, on peut tester la commande
   ldapsearch -xLLL -b cn=config -x -D cn=admin,cn=config -W

• On installe les packages nécessaires :
   apt-get install samba slapd samba-doc ldapscripts libnss-ldapd
• On installe le schéma pour Samba dans le fichier /etc/ldap/schema/samba.schema :
   zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
• On crée le fichier /etc/slapd/samba.conf avec le contenu :

  include          /etc/ldap/schema/core.schema
  include          /etc/ldap/schema/cosine.schema
  include          /etc/ldap/schema/nis.schema
  include          /etc/ldap/schema/inetorgperson.schema
  include          /etc/ldap/schema/samba.schema

• On créé un fichier temporaire pour intégrer ces schémas dans une nouvelle arborescence pour LDAP et on l'intégre à notre serveur :

  mkdir tmpd.d
  slaptest -f samba.conf -F tmp.d/
  cp "tmp.d/cn=config/cn=schema/cn={4}samba.ldig" "/etc/ldap/slapd.d/cn=config/ch=schema"
  chmod openldap: "/etc/ldap/slapd.d/cn=config/ch=schema"

• On vérifie l'intégration du schéma samba en lançant une des deux commandes :
   ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config "(objectClass=olcSchemaConfig)" dn
  ou
   ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config \string| grep schema \string| grep samba
• On demande à Samba d'utiliser l'annuaire de LDAP avec le paramètre suivant dans le fichier /etc/samba/smb.conf :
   passdb backend = ldapsam:ldap://serveurpeda.liberte.peda
  Ne pas oublier de boucler vers la machine serveur en déclarant l'hote comme "localhost. Dans le fichier /etc/hosts :
   127.0.0.1 localhost serveur.liberte.peda

• On vérifier que Samba supporte les bases LDAP en lançant la commande :
   smbd -b | grep LDAP
  Les lignes suivantes doivent apparaitrent :

  HAVE_LDAP_H
     HAVE_LDAP
     HAVE_LDAP_DOMAIN2HOSTLIST
     HAVE_LDAP_INIT
     HAVE_LDAP_INITIALIZE
     HAVE_LDAP_SET_REBIND_PROC
     HAVE_LIBLDAP
     LDAP_SET_REBIND_PROC_ARGS

• Sous Debian, le package smbldap-tools permet d'automatiser les tâches de population de la base LDAP, de l'ajout ou suppression d'utilisateurs et de la gestion des groupes d'utilisateurs :
  • On installe le package : apt-get install smbldap-tools
  • On copie le fichier de configuration :
     cp /usr/share/doc/smbldap-tools/examples/smbldap\_bind.conf /etc/smbldap-tools/
    Dans le dossier, on le décompresse :
     cp /etc/smbldap-tools/ ; gzip -d smbldap.conf.gz
  • On récupère le SSID de notre serveur Samba et on l'intègre :
     net getlocalsid >> smbldap.conf
    On modifie la dernière ligne pour qu'elle apparaisse :
     SID="xxxxxxxxxxxxxxxxxxxxxxxx
  • On modifie le fichier /etc/smbldap-tools/smbldap_bind.conf pour que les paramètres ci-dessous correspondent :

    ldapTLS="0"
    verify="none"
    sambaDomain="liberte.peda"
    slaveLDAP="ldap://127.0.0.1/"
    masterLDAP="ldap://127.0.0.1/"
    suffix="dc=liberte,dc=peda"
    usersdn="ou=utilisateurs,\${suffix}"
    groupsdn="ou=groupes,\${suffix}"
    computersdn="ou=machines,\${suffix

  • on lance la configuration de LDAP pour le serveur de domaine : smbldap-populate
• De manière générale :

  ldap passwd sync = Yes : 
  #LDAP
  passdb backend = ldapsam:ldap://serveurpeda.liberte.peda
  ldap admin dn = cn=admin,dc=liberte,dc=peda
  ldap suffix = dc=liberte,dc=peda
  ldap group suffix = ou=groupes
  ldap user suffix = ou=utilisateurs
  ldap machine suffix = ou=machines
          ldap debug level = 1 ### default
          #ldap debug level = 1
          #ldap debug threshold = 5
          ldap idmap suffix =
          ldap ssl = Off

cd /etc/apache2 
source envvars
apache2 -M

• access_compat : permet d'utiliser les mot clés Allow, Deny dans les fichiers de configuration
• alias : permet d'utiliser le mot clé Alias dans les fichiers de configuration. Permet de passer par dessus l'instruction "DocumentRoot"
• auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user : permet l'authentification d'utilisateur via la méthode http et les fichiers textes utilisateur/mot de passe .htpasswd
• autoindex : permet d'afficher le contenu d'un fichier sous la forme " ls -l"
• deflate : permet la compression des données avant l'envoi à l'utilisateur
• dir : permet notamment de définir le fichier index par défaut via la directive "DirectoryIndex" dans les fichiers de configuration
• env : permet d'utiliser des variables entre les modules via la commande "SetEnv"
• expires : permet de définir les temps renvoyés dans les "headers" via les commandes "ExpiresDefault" et "ExpiresByType"
• filter : usage de filtre via la commande "FilterDeclare", "FilterProvider", "FilterChain"
• headers : permet de modifier les headers des fichiers envoyés via la commande "Header"
• mime : permet de gérer les mime suivant les extensions des fichiers comme par exemple la commande "AddType"
• negotiation : permet de gérer les fichiers envoyés en fonction des capacités du navigateur du client. Utilisé avec l'option "MultiviewsMatch" et "AddHandler"
• reqtimeout : permet de gérer les temps d'attente des demandes des clients via les commandes "RequestReadTimeout"
• rewrite : permet de réécrire des URL demandés par le client via les comandes "RewriteBase", "RewriteRule" ...
• setenvif : permet de définir des variables d'environnement à l'aide de la commande "SetEnvIfNoCase"
• socache_shmcb : permet d'utiliser un cache des données. Commande "shmcb"?
• ssl : permet d'utiliser les chiffrement SSL et TLS
• status : utiliser pour connaitre le rendement du serveur apache

function modifCaractere($x){
    $x=str_replace("\xc2\xa0",' ',$x);
    $x=str_replace("\xc3\x8f",'i',$x);
    $x=str_replace("\xc3\xa8",'e',$x);
    $x=str_replace("\xc3\xa9",'e',$x);
    $x=str_replace("\xc3\xaa",'e',$x);
    $x=str_replace("\xc3\xab",'e',$x);
    $x=str_replace("\xc3\x88",'e',$x);
    $x=str_replace("\xc3\x89",'e',$x);
    $x=str_replace("\xc3\x8a",'e',$x);
    $x=str_replace("\xc3\x8b",'e',$x);
    $x=str_replace("\xc3\x80",'a',$x);
    $x=str_replace("\xc3\x81",'a',$x);
    $x=str_replace("\xc3\x82",'a',$x);
    $x=str_replace("\xc3\x83",'a',$x);
    $x=str_replace("\xc3\x84",'a',$x);
    $x=str_replace("\xc3\x85",'a',$x);
    $x=str_replace("\xc3\x86",'a',$x);
    $x=str_replace("\xc3\xa0",'a',$x);
    $x=str_replace("\xc3\xa1",'a',$x);
    $x=str_replace("\xc3\xa2",'a',$x);
    $x=str_replace("\xc3\xa3",'a',$x);
    $x=str_replace("\xc3\xa4",'a',$x);
    $x=str_replace("\xc3\xa5",'a',$x);
    $x=str_replace("\xc3\xa6",'a',$x);
    $x=str_replace("\xc3\x99",'u',$x);
    $x=str_replace("\xc3\x9a",'u',$x);
    $x=str_replace("\xc3\x9b",'u',$x);
    $x=str_replace("\xc3\x9c",'u',$x);
    $x=str_replace("\xc3\xb9",'u',$x);
    $x=str_replace("\xc3\xba",'u',$x);
    $x=str_replace("\xc3\xbb",'u',$x);
    $x=str_replace("\xc3\xbc",'u',$x);
    $x=str_replace("\xc3\xbd",'u',$x);
    $x=str_replace("\xc3\x92",'o',$x);
    $x=str_replace("\xc3\x93",'o',$x);
    $x=str_replace("\xc3\x94",'o',$x);
    $x=str_replace("\xc3\x95",'o',$x);
    $x=str_replace("\xc3\x96",'o',$x);
    $x=str_replace("\xc3\xb2",'o',$x);
    $x=str_replace("\xc3\xb3",'o',$x);
    $x=str_replace("\xc3\xb4",'o',$x);
    $x=str_replace("\xc3\xb5",'o',$x);
    $x=str_replace("\xc3\xb6",'o',$x);
    $x=str_replace("\xc3\xa7",'c',$x);
    $x=str_replace("\xc3\x87",'c',$x);
    return $x;
  }

ob_end_clean();
ignore_user_abort(true);
ob_start();
/* Code à exécuter et qui sera renvoyé au client */
$size=ob_get_length();
session_write_close();
header("Content-Encoding: none");
header("Content-Length: $size");
header("Connection: close");
ob_end_flush();
flush();
sleep(2);
ob_start();
/* Code qui sera exécuté sans que le client ne le sache */

• Pour activer cette fonctionnalité :
  • activer le module header : a2enmod headers
  • Dans le fichier /etc/apache2/conf-available/security.conf, ajoutez la ligne :
     Header set Accept-Ranges: "bytes"
• Pour tester si la fonctionnalité range bytes est autorisée sur un serveur, lancez en telnet les informations suivantes au serveur :

  GET /_fichier/sesamath/classeConnect.mp4 HTTP/1.1
  Host: chingatome.net
  Range:bytes=1000-1050
  Accept-Encoding: gzip
  Connection: close

• Imaginons un fichier faisant 200 octets. Voici comment télécharger ce fichier en deux commandes et les rassembler :

  curl --header "Range: bytes=0-100" http://192.168.100.1/vide.img -o f.txt
  curl --header "Range: bytes=101-200" http://192.168.100.1/vide.img -o f.txt
  echo "" > f
  cat f1 f2 >> f

  C'est la méthode utilisée par les logiciels "gestionnaire de téléchargement"

• apt-get install libapache2-mod-evasive
• On crée le dossier pour les logs :
   mkdir -p /var/log/apache2/evasive
 chown -R www-data:root /var/log/apache2/evasive
• On modifie le fichier /etc/apache2/mods-available/mod-evasive.conf :

  DOSHashTableSize 3097
  DOSPageCount 2
  DOSSiteCount 50
  DOSPageInterval 5
  DOSSiteInterval 1
  DOSBlockingPeriod 10
  DOSLogDir "/var/log/apache2/evasive"
  

• On relance le serveur : service apache2 restart

• display_errors = On :
• error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT :
• error_log = /var/log/php_errors.log :
• disable_functions : cette commande permet de désactiver des commandes globalement :
  Voici un exemple pour sécuriser un serveur Apache :

  disable_functions = chgrp, chmod, chown, disk_free_space, diskfreespace, disk_total_space, dl, escapeshellcmd, exec, get_current_user, getmypid, getmyuid, getrusage, highlight_file, ignore_user_abord, ini_alter, ini_restore, ini_set, leak, link, listen, login, passthru, php_uname, popen, posix_getpwuid, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, proc_get_status, proc_nice, proc_open, proc_terminate, set_time_limit, shell_exec, show_source, socket_bind, socket_listen, system, virtual

  Pour personnaliser la liste des commandes interdite par un vhost, on utilise la le patch suhosin : avec le paramètre suhosin.executor.func.blacklist dans le fichier .htaccess

• mysqlcheck -uroot -pxxx --all-databases : vérifie l'intégrité de l'ensemble des bases de données
• mysqlrepair -uroot -pxxx --all-databases : réparer toutes les bases
• mysqladmin -u root password 'nnn' : change le mot de passe de l'utilisateur root

• Création d'une base de données et ajout d'un nouvel utilisateur :

  CREATE DATABASE mydb CHARACTER SET utf8 COLLATE utf8_bin;
  CREATE USER 'myuser'@'%' IDENTIFIED BY 'xys';
  SET PASSWORD FOR 'myuser'@'%' =PASSWORD("mon_mot_passe");
  GRANT ALL ON mydb.* TO 'myuser'@'%';
  GRANT ALL ON mydb TO 'myuser'@'%';
  GRANT CREATE ON mydb TO 'myuser'@'%';
  FLUSH PRIVILEGES;

  Le mot clé "%" permet à l'utilisateur de se connecter de partout. A l'inverse, si on remplace par "localhost", la connexion au serveur MYSQL par cet utilisateur ne pourra se faire que localement.
• Pour modifier le mot de passe d'un utilisateur

  SET PASSWORD FOR 'utilisateur'@'%' = PASSWORD("sdfsdf");

• Pour créer un super-utilisateur :

  GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%' WITH GRANT OPTION;
  FLUSH PRIVILEGES;

• Pour connaitre tous les utilisateurs du système

  SELECT User,Host FROM mysql.user;
  ou
  USE mysql;
  SELECT User,Host FROM user;

• Pour effacer une base de données :

  DROP DATABASE mydb

• Effacer un utilisateur :

  DROP USER myUser

• Pour modifier l'auto-incrementation d'une clé dans une table :

  ALTER TABLE `exo_stats` AUTO_INCREMENT = 269

/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --log-error=/var/log/mysql/error.log --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/run/mysqld/mysqld.sock --port=3306

• Fichier de configuration
  Voici le fichier de configuration à créer ~/.msmtprc :

  account castanetTLS
  host chingatome.fr
  protocol smtp
  port 465
  auth login
  tls on
  tls_certcheck on
  tls_starttls off
  tls_trust_file ~/chingatome.fr.crt
  from castanet@chingatome.fr
  user castanet
  password xxxxx
  account castanet
  host chingatome.fr
  protocol smtp
  port 587
  auth login
  tls on
  tls_certcheck on
  tls_starttls on
  tls_trust_file /home/user/chingatome.fr.crt
  from castanet@chingatome.fr
  user castanet
  password xxxxx

• Lancer un email en ligne :
   echo "br, je viens d'un autre compte" | msmtp -va castanet th.castanet@gmail.com
• Pour que PHP puisse envoyer des courriels via ce logiciel, dans le fichier de configuration /etc/php/7.2/apache2/php.ini, modifiez la ligne suivante
   sendmail_path = "/usr/bin/msmtp -a castanetTLS -t -C /home/user/.msmtprc"
• Apparemment sur la derniere config de msmtp, il faut que les fichiers de configuration soit dans le home de l'utilisateur et ne supporte pas les liens symboliques (?)
• Attention apparmor bloque l'usage de fichier hors d'un certain contexte : à desactiver

• Voici une configuration pour un serveur postfix utilisant seulement les comptes linux.
  Voici mon fichier configuration /etc/postfix/main.cfg:

  command_directory = /usr/sbin
  daemon_directory = /usr/lib/postfix
  data_directory = /var/lib/postfix
  myhostname = dns.chingatome.net
  mydomain = chingatome.net
  myorigin = $mydomain
  inet_interfaces = all
  mydestination = $myhostname localhost.$mydomain localhost $mydomain
  unknown_local_recipient_reject_code = 550
  mynetworks = 10.8.0.1, 95.142.161.42, 127.0.0.0/8, [::ffff:127.0.0.0]/104, [::1]/128
  relay_domains = $mydomain
  home_mailbox = Maildir/
  smtpd_banner = chingatome.net ESMTP postfix (Debian/GNU)
  debugger_command =
           PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
           ddd $daemon_directory/$process_name $process_id & sleep 5
  setgid_group = postdrop
  inet_protocols = ipv4
  smtpd_tls_cert_file=/etc/ssl/certs/mail.crt
  smtpd_tls_key_file=/etc/ssl/private/mail.key
  smtpd_use_tls=yes
  smtpd_tls_auth_only=yes
  smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, defer_unauth_destination
  smtpd_sasl_type = dovecot
  smtpd_sasl_path = private/auth
  smtpd_sasl_auth_enable = yesa
  smtpd_sasl_local_domain = $mydomain
  broken_sasl_auth_clients = yes
  smtp_destination_concurrency_limit = 2
  smtp_destination_rate_delay = 180s
  smtp_extra_recipient_limit = 10
  ~

  Voici la configuration du fichier /etc/postfix/master.cfg

  # ==========================================================================
  # service type  private unpriv  chroot  wakeup  maxproc command + args
  #               (yes)   (yes)   (yes)   (never) (100)
  # ==========================================================================
  smtp      inet  n       -       -       -       -       smtpd
    -o smtpd_tls_security_level=encrypt
    -o smtpd_sasl_auth_enable=yes

• Voici quelques tips sur l'installation de Dovecot :
  • apt-get install dovecot-core dovecot-imapd
  • Dans le fichier /etc/dovecot/conf.d/10-master.conf

    service auth {
    ...
      unix_listener /var/spool/postfix/private/auth {
        mode = 0666
        user = postfix
        group = postfix
      }
    ...
    }

  • Dans le fichier /etc/dovecot/conf.d/10-auth.conf (dans le cas d'une authentification non-ssl)
     disable_plaintext_auth = yes
 auth_mechanisms = plain login
 auth_username_format = %n
  • Dans le fichier /etc/dovecot/conf.d/10-mail.conf
     mail_location = maildir:~/Maildir/
 mail_privileged_group = mail
  • Dans le fichier /etc/dovecot/conf.d/10-ssl.conf
     ssl = required
 ssl_cert = </etc/ssl/certs/mail.crt
 ssl_key = </etc/ssl/private/mail.key
• Voici quelques modifications pour l'utilisation d'une base ldap :
  • Dans le fichier /etc/postfix/main.cf, voici quelques lignes importantes

    virtual_mailbox_base = /home/maildir
    virtual_mailbox_domains = myisn.fr
    virtual_minimum_uid = 100
    virtual_gid_maps = static:5000
    virtual_uid_maps = static:5000
    virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf
    smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
    myhostname = smtp.myisn.fr
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    myorigin = /etc/mailname
    mydestination = smtp.myisn.fr, localhost.ovh.net, localhost
    relayhost =
    mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
    mailbox_size_limit = 0
    recipient_delimiter = +
    inet_interfaces = all

  • Dans le fichier /etc/postfix/ldap-accounts.cf, voici le contenu du fichier :

    server_host = 127.0.0.1
    version = 3
    search_base = ou=user,dc=myisn,dc=fr
    query_filter = (&(objectClass=inetOrgPerson)(mail=%s))
    result_attribute = uid
    bind = yes
    bind_dn = cn=admin,dc=myisn,dc=fr
    bind_pw = aaaaa

  • Dans le fichier /etc/dovecot/dovecot-ldap.conf.ext, voici les modifications apportées :

    hosts = localhost
    dn = cn=admin,dc=myisn,dc=fr
    dnpass = aaaaa
    auth_bind = yes
    ldap_version = 3
    base = ou=user,dc=myisn,dc=fr

  • Dans le fichier /etc/dovecot/conf.d/10-auth.conf

    #!include auth-system.conf.ext
    #!include auth-sql.conf.ext
    !include auth-ldap.conf.ext
    #!include auth-passwdfile.conf.ext
    #!include auth-checkpassword.conf.ext
    #!include auth-vpopmail.conf.ext
    #!include auth-static.conf.ext

  • Dans le fichier /etc/dovecot/conf.d/10-ssl.conf
     ssl = yes
 ssl_cert = </etc/dovecot/dovecot.pem
 ssl_key = </etc/dovecot/private/dovecot.pem
  • Dans le fichier /etc/dovecot/conf.d/10-mail.conf
     mail_location = mbox:/home/maildir:INBOX=/home/maildir/%u:INDEX=/home/maildir/map/%u
 mail_uid = 5000
 mail_gid = 5000
  • Dans le fichier /etc/dovecot/conf.d/auth-ldap.conf.ext

    passdb {
      driver = ldap
      args = /etc/dovecot/dovecot-ldap.conf.ext
    }
    userdb {
      driver = ldap
      args = /etc/dovecot/dovecot-ldap.conf.ext
    }

• Pour que le client se connecte au serveur :

  tftp
    tftp> connect 127.0.0.1
    tftp> status

  Voici quelques informations pour finir de monter le serveur PXE :
  • N'oubliez pas de lancer le serveur DHCP avec les instructions filename et next-server 10.0.0.2 où la dernière adresse est celle du serveur tftpd
  • Le fichier pxelinux.cfg/default permet de définir les choix lors du démarrage de l'ordinateur client. Voici un exemple de configuration :

    kbdmap pxelinux.cfg/fr.kbd
    default 0
    display pxelinux.cfg/aff.txt
    implicit 0
    prompt 1
    timeout 80
    label 0
      localboot 0
    label 1
       kernel ../Boot/startrom.0
       append ../bootmgr.exe
    label 2
            kernel ../iso/lubuntu-16-04/casper/vmlinuz
            append boot=casper netboot=nfs nfsroot=192.168.50.1:/home/tftpboot/iso/lubuntu-16-04 initrd=../iso/lubuntu-16-04/casper/initrd.lz console-setup/layoutcode=fr quiet splash nomodeset --

  • Voici quelques astuces pour que le serveur TFTP puisse lancer Windows PE.
    • Il faut que le fichier /etc/default/tftpd-hpa contienne les lignes suivantes

      # /etc/default/tftpd-hpa
      TFTP_USERNAME="tftp"
      TFTP_DIRECTORY="home/tftpd"
      TFTP_ADDRESS="0.0.0.0:69"
      TFTP_OPTIONS="--secure -m /home/tftpd/tftpd.remap"

      Le fichier tftp.remap contenant simplement la ligne suivante :
       gr \\ /
    • Installer Samba sur le serveur afin d'offrir un partage offrant les iso du système d'exploitation. Une fois le système Winwdows 7 lancé, monter le lecteur réseau à travers la ligne de commande :
        net use X: \\10.0.0.2
    • Les fichiers bootmgr.exe et bootmgt.txt doivent être placé à la racine du dossier partagé par le serveur TFTP
  • Pour monter par PXE le système Ubuntu, ne pas oublier de créer le partage NFS défini dans le fichier pxelinux.cfg/default. Ne pas oublier de mettre la liste des partages par la commande :
     exportfs -rv

i=1;
while IFS= read -r -d $'\0' a; do
  f=`echo "$a" | awk -F"/" '{print $6}'`
  cp "$a" "${i}-${f}"
  i=$((${i}+1))
done  < <(find /home/_math/_ressource -iname "*.ggb" -print0)

#!/bin/bash
OLDIFS="$IFS"  # save it
IFS="" # don't split on any white space
for file in `ls . `
do
    echo "$file"
done
IFS=$OLDIFS # restore IFS

liste=`ls *.htm`;
for a in ${liste[@]}; do
    mv $a --outfile "$(basename "${a}" .htm).html";
done

export LANGUAGE=en_US.UTF-8
export LANG=en_US.UTF-8
export LC_ALL=en_US.UTF-8
locale-gen en_US.UTF-8
dpkg-reconfigure locales

export LC_CTYPE=en_US.UTF-8
export LC_ALL=en_US.UTF-8