Trucs libres

marcmaurice.fr Diaspora
en

samedi 16 mars 2013

La solution ultime de MultiBoot USB live : Easy2Boot

Par dooblem le samedi 16 mars 2013, 17h41

J’ai passé des jours à chercher une bonne solution pour faire du live USB Multiboot, un moyen d’inclure mes fichiers ISO téléchargés dans une seule clé USB. Je cherchais un système où il suffit de poser les ISOs dans un dossier sur la clé, qui afficherais un menu avec la liste des fichiers ISO à démarrer. C’est exactement ce que fait Easy2Boot !

Démarrer un fichier ISO est compliqué, car beaucoup de systèmes d’exploitation "live" fonctionnent uniquement à la racine d’une partition DOS. Après quelques recherches, j’ai trouvé quelques pages indiquant que le "chainload" générique de fichiers ISO est très difficile (p1 p2).

J’ai trouvé des solutions comme YUMI (Your Universal Multiboot Installer (windows) ou MultiSystem. Actuellement, le problème avec ces programmes est qu’ilS utilisent des "astuces" spécifiques à chaque distribution pour construire un menu qui chargera directement le noyau Linux. Ce n’est pas aussi simple que de poser vos ISOs dans un dossier: il faut utiliser le logiciel pour contruire la clé usb multiboot. Un autre inconvénient : vous perdez les menus de boot SYSLINUX des distributions, car le noyau Linux est chargé directement.

Vous trouverez aussi des disques durs usb qui émulent un lecteur cdrom. C’est probablement la méthode la plus fiable, mais c’est plus cher, et plus gros qu’une petite clé USB.

Easy2Boot, à l’aide de scripts grub4dos, utilise une belle astuce (décrite ici) : quand le fichier iso est choisi dans le menu de démarrage, une partition DOS (numéro 4) est créée sur la position du fichier .iso résidant sur le système de fichiers FAT. Cette méthode est plus "ISO générique" et permet de démarrer de nombreux fichiers ISOs (99% des Linux live). Quelques inconvénients : la partition créée chevauche la première (ce n’est pas un problème sous Linux), et il faut vous assurer que le système de fichiers FAT ne va pas fragmenter vos fichiers ISO quand vous les copiez sur la clé.

Sous Windows, vous pouvez utiliser le logiciel RMPrepUSB (freeware/non libre) pour préparer votre clé USB.

Sous Linux/Ubuntu, c’est également simple:

  1. Formattez votre clé USB avec une seule partition FAT (je recommande gparted).
  2. Téléchargez Easy2Boot (la v1 Beta06 fonctionne bien) et placez tous les fichiers à la racine de la partition.
  3. Téléchargez grub4dos (prenez la dernière version "Featured") et extraire l’archive sur votre PC (pas sur la clé usb).
  4. Dans le dossier grub4dos, lancez sudo ./bootlace.com --time-out=0 /dev/sdX pour installer le MBR grub4dos (ne vous trompez pas de périphérique !).
  5. Posez quelques ISOs directement dans le dossier /MAINMENU
  6. Et voila. Redémarrez et testez!

Merci à RMPrepUSB et aux personnes du forum reboot.pro !

Astuces:

  • Si vous avez des problèmes de fragmentation FAT ("File for drive emulation must be in one contiguous disk area"), vous pouvez défragmenter en copiant tous les fichiers localement, formatez, puis recopiez les fichiers sur la clé. J’ai posé une question sur StackExchange pour savoir s’il existe une meilleure méthode.
  • Utilisez VirtualBox ou KVM/Qemu pour tester votre clé usb live sans redémarrer (VirtualBox semble plus rapide pour ça).

Liens :

aucun commentaire

samedi 8 septembre 2012

Écouter les événements souris sous Linux en mode texte

Par dooblem le samedi 8 septembre 2012, 23h59

Un petit script pour écouter les événements souris avec la commande mev utilisant gpm (General Purpose Mouse).

Utilisé sur mon Raspberry Pi pour lancer des commandes MPD (Music Player Daemon), pour utilisé la souris comme télécommande.

Je n’ai pas encore trouvé comment isolé les événements de la molette souris, pour pouvoir régler le volume. Quelqu’un a une idée ?

Sous Archlinux, vous pouvez ajouter la commande suivante dans /etc/rc.local pour le lancer au boot :

nohup /usr/local/bin/mpd_mouse.sh > /tmp/mpd_mouse.log 2>&1 &

#!/bin/sh
# This script listen to mouse events with the mev command using gpm.
# Can be used for example on the Raspberry Pi to run mpd commands, to use a mouse as a remote control.
# You can start it as a daemon with:
# nohup /usr/local/bin/mpd_mouse.sh > /tmp/mpd_mouse.log 2>&1 &

# start gpm if not already started
gpm -m /dev/input/mice -t imps2

# unset TERM variable, otherwise mev refuses to start when detecting xterm
unset TERM

echo "Listening to mouse events..."

# we use script to fake a tty for mev, otherwise it exits (note: mev logs errors in syslog)
script -qc "mev -E" /dev/null </dev/null | grep --line-buffered -v "mouse-movement" | while read LINE
do
        echo
        echo "$LINE"

        EVENT=$(echo "$LINE" | cut -d' ' -f1 | cut -d'(' -f2)

        if [ "$EVENT" = "down-mouse-1" ]
        then
                echo mpc stop
                mpc stop
        elif [ "$EVENT" = "down-mouse-2" ]
        then
                echo mpc toggle
                mpc toggle
        elif [ "$EVENT" = "down-mouse-3" ]
        then
                echo mpc next
                mpc next
        else
                echo "nothing"
        fi

done

aucun commentaire

ssh-agent: ssh-add automatique à la demande

Par dooblem le samedi 8 septembre 2012, 23h40

Plusieurs environnements de bureau (Gnome, Kde) lancent automatiquement un agent SSH au démarrage. Cependant, il faut penser à lancer la commande ssh-add avant de se connecter à un serveur.

En attendant que OpenSSH support le ssh-add automatique, vous pouvez ajouter ceci à votre .bashrc :

ssh-add -l >/dev/null || alias ssh='ssh-add -l >/dev/null || ssh-add && unalias ssh; ssh'

L’alias est créé uniquement si l’identity n’est pas encore ajoutée, et l’alias s’autodétruit une fois lancé.

Une fois l’identité ajoutée, la commande SSH normale est utilisée.

http://superuser.com/questions/325662/how-to-make-ssh-agent-automatically-add-the-key-on-demand/471640#471640

un commentaire

vendredi 11 mai 2012

Testeur de ports en sortie

Par dooblem le vendredi 11 mai 2012, 13h22

Le serveur qui héberge ce blog répond sur tous les ports TCP (ipv4) de la plage 1 à 65535.

Voir : http://portquiz.positon.org

Les URLs suivantes devraient aussi fonctionner si vous n’êtes pas filtrés en sortie :

Vous permet de tester quels ports TCP sont filtrés par votre réseau local.

Exemple en ligne de commande avec netcat :

$ nc -v portquiz.positon.org 1
electron.positon.org [178.33.250.62] 1 (tcpmux) open
$ nc -v portquiz.positon.org 65535
electron.positon.org [178.33.250.62] 65535 (?) open

un commentaire

dimanche 29 avril 2012

La crise des pixels : régression des résolutions

Par dooblem le dimanche 29 avril 2012, 15h53

Je cherche un nouveau laptop. Mon vieux Thinkpad T42p commence à se faire vieux. Je cherche donc un laptop avec un bon écran...

Sauf que... impossible de trouver sur le marché actuel un laptop ayant une résolution équivalente à mon T42p qui est sorti il y a plus de 8 ans !! Quand je parle de résolution, je parle de la densité de pixel en points par pouces (PPI). Ma résolution de 1400x1050 pour 14.1 pouces, c’est top ! ça donne une densité de 124 PPI.

De nos jours, tous les laptops ont maintenant une résolution unique de 1366x768. Le dernier thinkpad X1 de lenovo avec ses 13.3 pouces donne 118 PPI.

C’est inadmissible ! Je veux mes pixels !

Apparement je ne suis pas le seul dans ce cas...

C’est triste. Peux-être le salut sera-t-il dans nos écrans de téléphones portables qui ont de bien meilleures résolutions...

Autres liens utiles :

3 commentaires

lundi 16 avril 2012

Comparaison / Différence entre deux images

Par dooblem le lundi 16 avril 2012, 14h00

Après une longue recherche sur le Net, voici comment utiliser ImageMagick pour comparer deux image (diff), afin de déterminer si les images sont très proches, ou si l’une des images est une version redimensionnée de l’autre.

convert image1 image2 -resize '400x300!' MIFF:- | compare -metric AE -fuzz '10%' - null:

La commande convert prend 2 images, les redimensionne en une taille plus petite identique, puis les envoie dans un pipe à la commande compare qui compte le nombre de pixels différents.

La commande affiche le nombre de pixel différents. Si c’est 0 les images sont similaires.

2 paramètres peuvent augmenter la tolérance d’images similaires :

  • La taille des vignettes à comparer : plus la taille est petite, plus on élimine des détails. Bonne base : 1/4 de l’image la plus petite.
  • Le paramètre -fuzz : il s’agit de l’écart de couleur toléré. Plus on augmente ce paramètre, plus on tolère des couleurs différentes. En dessous de 2%, la différence de couleurs est quasiment imperceptible à l’œil nu.

Notes :

  • Il est préférable de conserver les mêmes proportions que les images originales.
  • Il faut un point d’exclamation pour forcer le redimensionnement sans tenir compte des proportions, car dans certains cas les deux vignettes n’ont pas une taille strictement identique, ce qui fait échouer la commande compare.

J’ai aussi fait un petit script qui redimensionne à 1/4 de la petite image et affiche le pourcentage de différences : imdiff

./imdiff /tmp/bad.jpg ../Public/images/bad.jpg
pixel difference: 2.927%
NOK

Liens :

2 commentaires

samedi 25 février 2012

Android HTC Dream AZERTY keyboard

Par dooblem le samedi 25 février 2012, 19h28

Small contribution to CyanogenMod wiki

Physical keyboard is changed to QWERTY after CyanogenMod 6 flash. if your HTC Dream has an AZERTY keyboard:

adb remount
adb shell
cat /sdcard/trout-keypad-v3.kl > /system/usr/keylayout/trout-keypad-v3.kl
cat /sdcard/azerty.kcm.bin > /system/usr/keychars/trout-keypad-v3.kcm.bin
  • Then reboot your phone

Some doc: http://source.android.com/tech/input/key-layout-files.html

aucun commentaire

lundi 30 janvier 2012

Suppression DRM Mobipocket (fichier .prc)

Par dooblem le lundi 30 janvier 2012, 01h11

Le manuel d’utilisation de mon Bookeen Cybook Gen 3 est protégé par DRM ! Quelle calomnie !

Télécharger la dernière version de DRM Tools Archive sur http://stream-recorder.com/forum/download-drm-tools-archive-t7955p3.html

Extraire l’archive puis :

tools_v4.7/Mobi_Additional_Tools$ python MobiDeDRM_032.py /tmp/XXXXX.prc /tmp/decrypted.prc

Et voila vous pouvez maintenant ouvrir le fichier à l’aide de fbreader

Je ne suis pas sûr que ça fonctionne avec tous les fichiers PRC. Il faut peut être préciser le PID pour certains.

aucun commentaire

dimanche 13 novembre 2011

Script d'import de fichier CSV dans MySQL

Par dooblem le dimanche 13 novembre 2011, 21h32

Voila le petit script sh que j’ai fait pour faire ça. Il existe la commande MySQL LOAD DATA INFILE, mais cette commande ne crée pas la structure de la table.

#!/bin/sh

MYSQL_ARGS="--defaults-file=/etc/mysql/debian.cnf"
DB="mbctest"
DELIM=";"

CSV="$1"
TABLE="$2"

[ "$CSV" = "" -o "$TABLE" = "" ] && echo "Syntax: $0 csvfile tablename" && exit 1

FIELDS=$(head -1 "$CSV" | sed -e 's/'$DELIM'/` varchar(255),\n`/g' -e 's/\r//g')
FIELDS='`'"$FIELDS"'` varchar(255)'

#echo "$FIELDS" && exit

mysql $MYSQL_ARGS $DB -e "
DROP TABLE IF EXISTS $TABLE;
CREATE TABLE $TABLE ($FIELDS);

LOAD DATA INFILE '$(pwd)/$CSV' INTO TABLE $TABLE
FIELDS TERMINATED BY '$DELIM'
IGNORE 1 LINES
;
"

http://dev.mysql.com/doc/refman/5.1/en/load-data.html

(Voir le commentaire "Posted by John Swapceinski on September 5 2011 5:33am")

un commentaire

mardi 14 juin 2011

Function PHP escapeshellarg, UTF8 et locales

Par dooblem le mardi 14 juin 2011, 23h09

La fonction PHP escapeshellarg dépend de votre locale courante. Je pense que c’est mal, mais les développeurs de PHP on fait ce choix. Si comme moi votre locale par défaut est ’C’, vous perdez vos caractères UTF8.

Ils suggèrent d’utiliser quelque chose comme setlocale(LC_CTYPE, "en_US.UTF-8"). Ça ne fonctionne pas si la locale en_US.utf8 n’est pas installée sur votre système. Bien sûr vous avez peut-être fr_FR.utf8, ou de_DE.utf8, mais vous aller devoir toutes les essayer jusqu’à trouver une locale utf8 qui correspond. Et s’il n’y en a pas vous êtes foutus. C’est mauvais aussi si vous voulez du code qui marche partout.

Utilisez simplement :

$escapedArg = "'".str_replace("'", "'\\''", $arg)."'";

Ça fait la même chose que la fonction escapeshellarg : remplacer chainel'hyperlongue par

'chainel'\''hyperlongue'

comme décrit dans le manuel de escapeshellarg (et j’ai aussi jeté un œil au code source de PHP pour être sûr).

Voir aussi :

aucun commentaire

dimanche 13 mars 2011

Un script mysqldump très simple pour sauvegarder vos bases de données

Par dooblem le dimanche 13 mars 2011, 21h42

Voici les quelques lignes que j’utilise pour sauvegarder mes bases de données MySQL sur mon serveur Debian :

#!/bin/sh
# This will dump all your databases

DATE=$(date +%Y%m%d%H%M)

for DB in $(echo "show databases" | mysql --defaults-file=/etc/mysql/debian.cnf -N)
do
        mysqldump --defaults-file=/etc/mysql/debian.cnf $DB > /backup/mysql/${DB}_${DATE}.sql

        gzip /backup/mysql/${DB}_${DATE}.sql
done

# purge old dumps
find /backup/mysql/ -name "*.sql*" -mtime +8 -exec rm -vf {} \;

Vous pouvez le lancer via un cron :

11 1 * * * /usr/local/bin/mysqldump.sh > /tmp/mysqldump.log

De cette manière, toute erreur affichée par le script sera envoyée par mail à l’utilisateur root (adresse configurée dans /etc/aliases).

Sous une autre distribution que Debian, s’il n’existe pas un fichier de mot de passe équivalent dans /etc/mysql/, vous devrez en créer un.

6 commentaires

jeudi 13 janvier 2011

positon.42 et dnsmasq comme proxy DNS pour résoudre les domaines en .42

Par dooblem le jeudi 13 janvier 2011, 23h32

J’ai récemment fait la demande et obtenu mon domaine en .42 !

http://positon.42

Les .42 ne sont pas (encore) officiels (c’est à dire agréés par l’ICANN et servi par les serveurs DNS racine).

Pour résoudre les domaines en .42, vous devez interroger un serveur DNS qui connait les .42.

Je reprend dans mon billet ma modeste contribution au wiki de 42registry.org, qui explique une manière de configurer cela sous Ubuntu :

---

The following allows you to use Geeknode DNS only for .42 domains while keeping your regular DNS provider for other domains.

Install dnsmasq :

aptitude install dnsmasq

Edit /etc/dnsmasq.conf and add the line :

server=/42/81.93.248.69

Restart dnsmasq :

sudo /etc/init.d/dnsmasq restart

Edit /etc/dhcp3/dhclient.conf, then uncomment or add the line :

prepend domain-name-servers 127.0.0.1;

Now disconnect and reconnect to you local network, to refresh the /etc/resolv.conf file, then test it !

---

Liens :

2 commentaires

mercredi 29 décembre 2010

Restriction de commande Rsync par SSH

Par dooblem le mercredi 29 décembre 2010, 18h36

Vous disposez de deux systèmes et vous voulez mettre en place une sauvegarde sécurisée par rsync + SSH d’un système sur l’autre.

De manière très simple, vous pouvez utiliser la commande :

backup.example.com# rsync -avz --numeric-ids --delete root@myserver.example.com:/path/ /backup/myserver/

Pour faire la sauvegarde, vous devez être root sur le serveur, car certains fichiers ne sont lisibles que par root.

Problème : vous allez autoriser backup.example.com à faire n’importe quoi sur myserver.example.com, alors qu’un simple accès en lecture seule sur un dossier suffit.

Pour résoudre ce problème, il suffit d’utiliser la directive command="" dans le fichier authorized_keys pour filtrer la commande lancée.

Pour trouver cette commande, on lance rsync en ajoutant l’option -e'ssh -v' :

rsync -avz -e'ssh -v' --numeric-ids --delete root@myserver.example.com:/path/ /backup/myserver/ 2>&1 | grep "Sending command"

On obtient un résultat du genre :

debug1: Sending command: rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/

Maintenant, il suffit d’ajouter la commande avant la clé dans le fichier /root/.ssh/authorized_keys :

command="rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/" ssh-rsa AAAAB3NzaC1in2EAAAABIwAAABio......

Et pour encore plus de sécurité, on pourra ajouter un filtre par IP, et autres options :

from="backup.example.com",command="rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAAAB3NzaC1in2EAAAABIwAAABio......

Maintenant, vous pouvez essayer d’ouvrir un shell ssh, ou de lancer d’autres commandes rsync non autorisées...

Notes :

  • Attention, si vous changez les options de la commande rsync, à ne pas oublier de modifier aussi le fichier authorized_keys.
  • Plus besoin de chroot compliqué, vous pouvez oublier mon précédent article : /post/SFTP-chroot-rsync

Voir aussi :

  • man ssh #/AUTHORIZED_KEYS FILE FORMAT
  • man rsync
  • view /usr/share/doc/rsync/scripts/rrsync.gz (restricted rsync, vous permet de gérer précisément les options autorisées)

un commentaire

dimanche 19 décembre 2010

Configuration proxy I2P via un fichier PAC

Par dooblem le dimanche 19 décembre 2010, 23h16

En ces temps d’Hadopi, je viens de tester le réseau I2P, qui fonctionne plutôt bien.

L’installation est très facile. Il suffit de télécharger le fichier .exe et de le lancer avec la commande java -jar comme indiqué (ça fonctionne sous Linux, oui oui).

Maintenant, si vous souhaitez accéder aux sites en .i2p, comme par exemple http://forum.i2p, vous devez configurer votre navigateur pour utiliser le proxy : localhost:4444

Si vous ne souhaitez pas utiliser le proxy pour vous connecter aux sites normaux non i2p, vous pouvez utiliser l’extension Firefox FoxyProxy.

Vous pouvez aussi utiliser directement un fichier PAC (Proxy Auto-Config) :

function FindProxyForURL(url, host) {
    if (dnsDomainIs(host, ".i2p")) {
        return "PROXY localhost:4444";
    } else {
        return "DIRECT";
    }
}

Ensuite, vous configurez Firefox, ou les préférences proxy de Gnome pour utiliser le fichier file:///chemin/vers/proxy.pac comme configuration.

Attention cependant : avec cette méthode, un eepsite (un site .i2p) mal intentionné peu arriver à détecter votre vraie adresse IP.

Liens :

aucun commentaire

mardi 30 novembre 2010

Clementine : un bon lecteur de musique

Par dooblem le mardi 30 novembre 2010, 21h11

J’ai découvert Clementine il y a quelques temps déjà.

Il n’existe pas de paquet ni sous Ubuntu, ni sous Debian, mais le site officiel fournit un paquet .deb pour votre version d’Ubuntu préférée. Il existe même en version Mac OS X et Windows...

Un petit clique sur le fichier .deb correspondant à votre distrib Ubuntu devrait suffire pour l’installer.

J’ai testé des tonnes de lecteurs (Amarok, Rythmbox, le vieux XMMS, Exaile, Listen, Totem...).

Clementine est un dérivé d’Amarok, très simplifié, et s’intègre très bien dans Gnome grâce aux librairies Qt4.

Bref, je suis heureux d’avoir découvert ce logiciel, que je vous recommande.

4 commentaires

mardi 9 novembre 2010

Routeur Exim : filtre destinataire

Par dooblem le mardi 9 novembre 2010, 23h51

Dans un précédent billet, j’expliquais comment mettre en place un "mangeur de courriel" avec Exim, de manière à se créer des adresses multiples qui redirigent toutes vers la même destination :

catchall_pub:
  driver = redirect
  domains = pub.mondomaine.com
  data = utilisateur@mondomaine.com

Ensuite, j’expliquais que sur l’adresse destination, on pouvait mettre en place un filtre Sieve ou Exim via un fichier .forward.

On peut vouloir mettre en place le filtre directement dans Exim, par soucis de centralisation de configuration, ou tout simplement si la boîte destination ne supporte pas les filtres.

Il suffit d’ajouter l’option local_parts :

catchall_pub:
  driver = redirect
  domains = pub.mondomaine.com
  local_parts = !/etc/exim4/pub.mondomaine.com.blacklist
  data = utilisateur@mondomaine.com

Dans /etc/exim4/pub.mondomaine.com.blacklist, on place les adresses rejetées, une par ligne :

toto1
titi2

Ainsi, les adresses toto1@pub.mondomaine.com et titi2@pub.mondomaine.com sont désormais rejetées.

Doc Exim4 :

2 commentaires

samedi 30 octobre 2010

Précharger un contenu web avec la balise link prefetch, ou du javascript

Par dooblem le samedi 30 octobre 2010, 16h50

Pour la gallerie d’images php Bizou, j’ai cherché différentes manière de précharger l’image suivante pour le mode "visualisation" (exemple).

Sous Firefox, c’est très simple. Il suffit d’utiliser la balise suivante pour que le navigateur précharge les contenus indiqués. Les contenus sont préchargés en arrière-plan une fois que la page courante est chargée intégralement.

<link rel="prefetch" href="/images/nextimage.jpg" />

Sauf que pour le moment seul Firefox supporte cette fonctionnalité. Note : un ticket est ouvert sur le sujet pour le projet Chromium.

Pour les autres navigateurs que Firefox, il faut utiliser du Javascript déclenché à l’événement window.onload :

<script type="text/javascript">
window.onload = function() {
    // pour les images
    var im = new Image();
    im.src = '/images/nextimage.jpg';
    // et pour les autres contenus
    var req = new XMLHttpRequest();
    req.open('GET', 'nextpage.php', false);
    req.send(null);
};
</script>

Attention aux en-têtes HTTP de cache envoyés par le serveur vers le navigateur. Pour un préchargement efficace de page PHP, il faudra que votre script envoie un en-tête Expires.

header('Expires: '.gmdate('D, d M Y H:i:s \G\M\T', time() + 3600));

Enfin, pour une détection simple du navigateur depuis le script PHP :

<?php if (strpos($_SERVER['HTTP_USER_AGENT'], 'Firefox') !== false) { ?>
<link rel="prefetch" href="nextpage.php" />
 
<?php } else { ?>
<script type="text/javascript">
window.onload = function() {
    var req = new XMLHttpRequest();
    req.open('GET', 'nextpage.php', false);
    req.send(null);
};
</script>
<?php } ?>

Liens :

aucun commentaire

dimanche 24 octobre 2010

Bizou - une galerie php KISS

Par dooblem le dimanche 24 octobre 2010, 23h34

J’ai passé des heures à chercher sur le Web LE logiciel PHP qu’il me fallait, sans succès.

Les qualités requises :

  • Logiciel libre
  • Pas de base de données, dépôt des images dans un dossier et c’est tout.
  • Un code compréhensible que je puisse bricoler si besoin.
  • Le nombre de vignette en largeur qui s’adapte à la taille du navigateur.

Et voila, j’ai passé une autre fin de semaine recodant allègrement quelque chose qui existe surement déjà, mais au moins c’est simple et ça fait ce que je veux :

http://www.positon.org/bizou/fr.html

La démo ici

12 commentaires

vendredi 22 octobre 2010

Une solution au problème umask : inotify pour forcer les droits

Par dooblem le vendredi 22 octobre 2010, 00h29

Trouver une bonne solution au problème du partage des fichiers entre utilisateurs Linux est un cauchemar.

Si elle convient il y a la solution de l’UID unique. Tous les clients accèdent aux fichiers avec le même UID utilisateur. Seulement on ne sais pas qui fait quoi. Et les utilisateurs ne peuvent pas gérer finement leurs droits.

Problème : le umask par défaut est TOUJOURS 0022, ce qui fait que tout fichier créé aura les droits rw– r–– r––. Seul le propriétaire peut écrire et personne d’autre. Pour partager les fichier, un groupe doit aussi pouvoir écrire.

On peut changer ce umask. Pour la ligne de commande, ça se passe dans les fichiers .bashrc ou .profile, ou dans /etc/profile pour tous les utilisateurs. Pour un partage SFTP, on s’en sort avec un bricolage. Pour le serveur Apache, on s’en sort avec le fichier /etc/apache2/envvars sous Debian.

Si le partage de fichier se fait via un seul service, c’est simple de changer le umask, sinon, c’est compliqué. Et même en changeant tous les umask de tous les services, tout n’est pas parfait : par exemple, Nautilus via SFTP n’en fait qu’à sa tête. Certains clients posent le fichiers et font un chmod derrière : l’enfer. Il y a aussi la puissance des ACL POSIX qui permettent de forcer les droits. Mais là encore, certains clients vous poserons problème.

Enfin, on ne souhaite pas forcément que tous les fichiers soient posés avec l’écriture pour le groupe. On peut souhaiter une meilleure granularité.

D’expérience, j’ai abandonné l’idée du correctif à la source pour me tourner vers un bricolage agissant APRÈS la création du fichier. La solution la plus simple est bien sûr la tâche cron, qui toutes les X minutes fait un chmod -R g+w sur un dossier. Déjà la solution n’est pas immédiate car désynchronisée de la création de fichiers, et elle rajoute une (très) petite charge supplémentaire à votre système.

Je propose une solution à base d’inotify, qui force les droits dès qu’un fichier est créé :

aptitude install inotify-tools

Et la commande magique :

inotifywait -mrq -e CREATE --format %w%f /tmp/mytest/ | while read FILE; do chmod g=u "$FILE"; done

MAJ 2010-10-30 Pour gérer les espaces en fin de fichiers, et les antislashs :

inotifywait -mrq -e CREATE --format %w%f /tmp/mytest/ | while IFS= read -r FILE; do chmod g=u "$FILE"; done

Merci à vitoreiji (commentaires)

La commande inotifywait écoute les événements du dossier /tmp/mytest. Dès qu’un fichier est créé, il est affiché sur la sortie standard. Chaque ligne-fichier est ensuite lue par la boucle while et les droits sont changés. Le g=u donne au groupe les mêmes droits que l’utilisateur (avec g+w, si l’utilisateur pose un fichier rw– ––– –––, les droits deviendraient rw– –w– –––).

Vous pouvez maintenant tester la création/copie de fichiers/dossiers. Même un mkdir -p a/b/c/d/e doit fonctionner.

Pour terminer, on ajoutera tout cela dans un script de démarrage :

vi /usr/local/bin/inotifywait.sh && chmod +x /usr/local/bin/inotifywait.sh
#!/bin/sh
# Take the directory name as argument

inotifywait -mrq -e CREATE --format %w%f "$1" | while read FILE
do
	chmod g=u "$FILE"
done

vi /etc/init.d/inotifywait.sh && chmod +x /etc/init.d/inotifywait.sh
#! /bin/sh

case "$1" in
  start|"")

	rm -f /tmp/inotifywait.log
	/usr/local/bin/inotifywait.sh /path/to/dir/ >/tmp/inotifywait.log 2>&1 &
	
	;;
  restart|reload|force-reload)
	echo "Error: argument '$1' not supported" >&2
	exit 3
	;;
  stop)
	# killall inotifywait ???
	;;
  *)
	echo "Usage: inotifywait.sh [start|stop]" >&2
	exit 3
	;;
esac

:

(sous Debian)

update-rc.d inotifywait.sh defaults

Note : un inconvénient : il y a une limite sur le nombre de fichier surveillés, voir l’option -r dans man inotifywait.

Et enfin la touche finale qui est utile pour que les fichiers créés conservent le groupe du dossier parent : le bit setgid au groupe pour tous les dossiers.

find /path/to/dir -type d -exec chmod g+s {} \;

Liens :

19 commentaires

lundi 11 octobre 2010

ProFTPD avec fichier de mots de passe AuthUserFile

Par dooblem le lundi 11 octobre 2010, 00h45

Par défaut sous Debian, ProFTPD utilise uniquement la base d’utilisateurs système de /etc/passwd.

Pour ajouter des utilisateurs "virtuels", il faut procéder comme suit :

Dans /etc/proftpd/proftpd.conf :

DefaultRoot ~
AuthUserFile /etc/proftpd/ftpd.passwd
RequireValidShell off

Puis relancer proftpd : /etc/init.d/proftpd restart

Fichier des utilisateurs :

vi /etc/proftpd/ftpd.passwd
username:HASH:1011:1011:MyUserName:/home/ftp/directory:/bin/true

Vous pouvez générer les lignes du fichier à l’aide de la commande ftpasswd, mais je trouve plus simple de générer le mot de passe avec la commande :

mkpasswd --hash=md5

Puis collez le HASH dans le fichier des mots de passe.

On corrige les droits du fichier de mot de passe :

chown proftpd /etc/proftpd/ftpd.passwd
chmod go-r /etc/proftpd/ftpd.passwd

Enfin, il suffit de tester.

Liens :

aucun commentaire

- page 1 de 5