Messages étiquettés linux

Linux, un minimum de précaution tout de même

Aujourd’hui je vous propose un article plutôt à destination des nouveaux venus sous Gnu/Linux.

Bien que l’on vous présente ce type de système comme sûr, à toute épreuve, Gnu/Linux étant un système d’exploitation comme un autre, il reste vulnérable.

Il existe donc quelques principes de bases à appliquer:

  • Effectuer les mises à jours de sécurité de votre distribution régulièrement
  • Mettre en place un pare-feu minimaliste
  • Mettre en place un antivirus afin d’éviter si ce n’est d’être infecté, de propager des virus à d’autres systèmes (via e-mail, clé usb, …)

Par défaut sous certaines distributions telles qu’Ubuntu, aucun pare-feu n’est configuré et aucun antivirus n’est installé.

  1. Effectuer les mises à jours de sécurité de votre distribution régulièrement:
  2. La plupart des distributions mettent à disposition un gestionnaire de mise à jour graphique dans leur outils, cela permet de configurer les mises à jour automatique ainsi, plus besoin de vous en soucier.

    Si vous désirez passer par la ligne de commande, en fonction de votre gestionnaire de paquet, la commande diffère mais pour l’automatiser, il suffit de la placer dans le crontab (gestionnaire de tâches):

    Exemple d’automatisation simple sous Debian

    sudo crontab -e

    00 02 */5 * * apt-get update && apt-get upgradelogo debian

    La première ligne permet d’entrer dans la crontab de l’utilisateur root

    La seconde est à insérer dans ce fichier afin d’automatiser la mise à jour du système tous les 5 jours à 2h du matin.

  3. Mettre en place un pare-feu minimaliste
  4. Avec tout système Gnu/Linux est livré un outil très puissant, iptables. C’est cet outil que nous allons utiliser ici afin de verrouiller un minimum nos machines. Bien que je ne prétende pas faire ici un cours sur iptables, je vais succinctement vous expliquer l’utilité des diverses commandes:

    Exemple d’utilisation d’iptables pour un poste utilisateur

    /sbin/iptables-save

    Cette commande permet d’afficher les règles Iptables appliquées en ce moment.

    /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -j DROP


    Ces 2 commandes suffisent à bloquer toute entrées de données sur votre machine (sur l’interface eth0) hormis celles demandées par celle-ci. Ici, nous bloquons simplement tout en entrée et rien en sortie puisqu’il s’agit d’un poste utilisateur et non d’un serveur. Cela conviendra donc pour la plupart des postes utilisateurs.

    N’oublier pas cependant d’adapter ces règles suivant votre cas (quelqu’un doit il pouvoir accéder à cette machine à distance ? (moi y compris ?), à quoi doit on avoir accés sur cette machine (http, ftp, icmp, dns, …)), notamment si vous partagez des données via un partage réseau sur votre machine.

    Connaître ces quelques règles, où bien les exécuter une fois n’aura d’impact que jusqu’au prochain redémarrage du poste. Si vous désirez appliquer ces règles en permanence, il suffit de les placer dans un fichier firewall.sh, de rendre ce script exécutable et d’ajouter une ligne dans /etc/network/interface. Ce qui donne:

    firewall.sh:

    #!/bin/bash
    /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -j DROP

    Il faut ensuite rendre ce script exécutable et en limiter les possibilités de modification:

    chmod 700 firewall.sh

    /etc/network/interface:

    up chemin/vers/script/firewall.sh

  5. Mettre en place un antivirus
  6. Bien qu’il existe à l’heure actuelle peu de manace pour ce système d’exploitation, un poste non protégé pourrait contaminer d’autres postes tout en étant parfaitement opérationnel (porteur sain …).
    Afin de limiter les risques de contamination de postes sous des OS différents, il convient donc d’installer un antivirus.
    Clamav est un antivirus libre, gratuit très performant qui va vous permettre d’être tranquille de ce côté là.
    Disponible dans les dépôts il s’installe avec votre gestionnaire de paquets habituel (exemple sous Debian: apt-get install clamav)

Quelques ressources intéressantes à ce sujet:

Tags: , , , , , , , ,

Mise à jour de l’horloge via NTP

Dans certains cas, il peut être utile de forcer la mise à jour de l’horloge système via le protocole NTP

Voici donc une liste de serveurs NTP utilisables:

  • pool.ntp.org
  • ntp.internet-fr.net
  • ntp.ubuntu.com

Le premier étant un ensemble de serveurs, sa capacité à répondre devrait être meilleure que les autres.

Et voici comment ajuster l’horloge système sur l’un de ces serveurs:

Sous Linux:

La solution la plus simple est d’utiliser la commande ntpdate présente sur la plupart des systèmes Linux.

ntpdate pool.ntp.org

Sous Windows:

net time /setsntp:pool.ntp.org

Tags: , , , , , ,

Ouvrir ses documents dans un terminal

Il arrive que l’on passe le plus clair de son temps avec un terminal, et que les GUI donnent un goût de trop lourd, trop de temps à se lancer… Parfois également on ouvre un document juste pour y jeter un coup d’oeil, parce que l’on en a oublié le contenu, et dans ces cas là on souhaite aller vite.

Lire la suite de cet article sur La Linuxerie.

Programmes présentés:

Ps2ascii, Pdftotext, Odt2txt, SSConverter, Lynx, Mplayer, Antiword, Ppthtml, Xls2txt, …

Tags: , , , , , ,

Sondage: Quelle distribution Linux utilisez vous ?

Bonjour à tous,

Suite aux petites statistiques présentées concernant les visiteurs de ce blog, j’aimerai savoir quelles sont les distributions Linux que vous utilisez le plus souvent. Dans le cas ou vous utilisez une distribution dérivée de celle présentée, veuillez sélectionner la distribution de base. Dans le cas contraire, laissez le nom de vos distributions en commentaire.

Le module de sondage n’est pas opérationnel pour le moment. Ce sondage n’est donc pas accessible.

En attendant, n’hésitez pas à laisser vos réponses en commentaire, celles-ci seront prises en compte.

Tags: , ,

Campagne de dénigrement de Microsoft

Pris par la peur de voir Linux et Mac se répandre au détriment de Windows 7 et préparant l’arrivée prochaine de Google Chrome OS sur le marché, Microsoft passe à l’offensive en lançant une campagne de dénigrement contre ses principaux concurrents actuels.

Comparatif Windows 7 / Linux - Présentation Microsoft

Comparatif Windows 7 / Linux - Présentation Microsoft

Lire l’article concernant Linux sur Numérama

Après la campagne contre Linux lancée la semaine passée, c’est au tour de Mac OS d’en prendre pour son grade.

Comparatif Windows 7 / Mac - Présentation Microsoft

Comparatif Windows 7 / Mac - Présentation Microsoft

Lire l’article concernant Mac sur Numérama

Tags: , , ,

Noyau 2.6.31 en version stable

Linus Torvald a annoncé le passage de la nouvelle version du noyau Linux, 2.6.31, en version stable. Ce noyau comme tous les autres est disponible sur kernel.org.

Pour cette nouvelle version, des améliorations importantes ont été réalisées avec l’ajout du support de l’USB3, l’amélioration de la gestion mémoire qui permet d’après des tests réalisés de doubler les performances de l’interface graphique, mais aussi le système de fichier réseau NFS 4.1.


Ressources:

Plus d’informations sur les nouveautés de ce noyau (en anglais)

Quelques informations en français sur l’amélioration des performances graphiques.

Tags: , , ,

Accélerer la mise à jour d’un parc basé sur Debian

Si vous avez à mettre à jour un nombre important de machines GNU/Linux, il y a de fortes chances pour que votre liaison Internet soit vite saturée. Dans le contexte d’une entreprise, cette saturation peut rapidement poser des problèmes pour les utilisateurs. Nous allons donc dans ce billet mettre en place un cache local pour les dépôts Debian / Ubuntu. Les avantages sont les suivants:

  • diminuer le temps des mises à jour
  • réduire la consommation de bande passante sur votre liaison Internet
  • contrôler plus finement la mise à jour des machines

Principe de fonctionnement

Un bon diagramme valant mieux qu’un long discours:

aptcache

Comme on peut le voir sur le deuxième diagramme, il faut installer une machine (« label ») qui va servir de cache entre votre réseau local et le dépôt distant.

Installation du cache

Nous allons utiliser une machine GNU/Linux Ubuntu pour faire office de cache. Attention, celle-ci devra disposer d’un espace disque important car tout les paquets mis à jours y seront stockés. Personnellement, j’utilise un point de montage SMB (/media/depots) vers un serveur NAS. Le cœur de notre système se base sur l’utilisation du logiciel apt-cacher. Nous allons commencer par l’installer sur notre système:

sudo aptitude install apt-cacher

Le fichier de configuration se trouve à l’emplacement /etc/apt-cacher/apt-cacher.conf. Il faut y modifier (selon votre configuration) les paramètres suivants:

# cache_dir configure le répertoire ou le cache stockera ses données cache_dir=/media/depots/ubuntu # Configuration du groupe et de l’utilisateur avec lequel apt-cacher va être lancé # Il faut que le répertoire cache_dir est les bon droits en lecture/écriture user=www-data group=www-data # allowed_hosts défini la liste des machines autorisées à utiliser ce cache allowed_hosts=192.168.29.0/24

Remarque: Il est également possible de demander à apt-cache d’utiliser un proxy pour sortir vers Internet (utilisation des options: http_proxy, use_proxy, http_proxy_auth, use_proxy_auth). Pour automatiser le lancement de apt-cacher lors du démarrage de la machine, il faut modifier le fichier /etc/default/apt-cacher:

AUTOSTART=1

Ensuite on lance le cache:

sudo /etc/init.d/apt-cacher start

Configuration des machines clientes

Votre cache est maintenant opérationnel, il ne reste plus qu’a configurer vos machine GNU/Linux Ubuntu pour l’utiliser. Le plus simple est de créer un fichier nommé 90-apt-cacher.conf dans le répertoire /etc/apt/apt.conf.d/ (remplacer l’adresse IP 192.168.29.254 par l’adresse IP de votre machine hébergeant apt-cacher):

vi /etc/apt/apt.conf.d/90-apt-cacher.conf Acquire::http::Proxy « http://192.168.29.254:3142 »

En cas d’indisponibilité du cache, vos machines pourront se mettre à jour comme elle le faisait auparavant.

Billet original de NicoLargo

Tags: , ,

Activer sa carte WiFi sous Linux

Sur certains ordinateurs portables sont installées des cartes WiFi qui doivent être activées via un logiciel. Typiquement ces portables sont installés avec Windows Vista et un petit utilitaire (accessible via une combinaison de touche Fn + F1) permet d’activer cette carte.

Il survient alors un problème lorsque l’on installe un système Linux sur ces portables, comment activer la carte WiFi?

Afin de résoudre ce problème, en fonction de la carte, il faudra éventuellement installer un pilote spécifique si celui-ci existe mais également le module acerhk qui va gérer les boutons d’actions mais également les interactions avec le BIOS de la machine.

Il suffit ensuite d’utiliser une commande ACPI afin d’activer ou de désactiver la carte:

sudo modprobe acerhk

echo 1 > /proc/driver/acerhk/wirelessled

Ces commandes permettent de charger le module acerhk puis d’activer la carte.

Pour la désactiver:

echo 0 > /proc/driver/acerhk/wirelessled

Il est également possible d’activer la carte automatiquement au démarrage pour ceux qui le souhaitent:

Il suffit de placer ce script dans /etc/init.d/wifi:

:
case $1 in
start|on)
modprobe acerhk && echo 1 > /proc/driver/acerhk/wirelessled
;;
stop|off)
echo 0 > /proc/driver/acerhk/wirelessled
;;
restart)
$0 stop
$0 start
esac

exit 0

Il faudra ensuite le lancer automatiquement à chaque démarrage via

update-rc.d -f wifi default

La carte en question est ici une Athéros (AR242x, AR5007EG). Cependant cette manipulation permettant d’activer un périphérique via le BIOS du PC, elle doit être applicable à de nombreuses autres cartes réseaux WiFi, Bluetooth, …

Tags: , , , ,