Forums d'entraide informatique - Astuces - Conseils

Admin · 21-08-2008 20:26:45

Installez Grip :
# apt-get install grip
Encoder un CD en Ogg Vorbis
Mettez un CD audio dans le lecteur et lancez grip. Si vous avez une connexion Internet, il va automatiquement consulter
une CD database et télécharger le nom de l’auteur, de l’album et des chansons.
152Chapitre 36. La musique sous X
Figure 36-3. Grip
Si vous utilisez l’émulation SCSI sur le lecteur de CD que vous allez utiliser (parce que c’est un graveur par exemple), il
faut changer certaines permissions pour pouvoir utiliser grip en tant que simple utilisateur :
# chgrp cdrom /dev/sg0
# chmod g+rw /dev/sg0
Nous allons maintenant jeter un oeil à la conﬁguration. Allez dans l’onglet Conﬁg :
• dans l’onglet Extr., sélectionnez comme Extracteur grip (cdparanoia) (extraction = passage du CD au format Wav),
cochez Inhiber le mode "paranoïa" et ainsi que Inhiber le mode "extra paranoïa" et mettez comme Format du ﬁchier
extrait : /tmp/%n.wav.
Si vous utilisez l’émulation SCSI, entrez /dev/sg0 commePériphérique SCSI générique.
• dans l’onglet MP3, sélectionnez comme Encodeur oggenc (encodage = passage du format Wav au format Ogg Vorbis ou
MP3) et personnalisez le format des futurs ﬁchiers Ogg Vorbis dans la case Format des ﬁchiers MP3, sachant que les
conventions sont les suivantes :
• %n = le nom de la chanson,
• %t = le numéro de la piste,
• %a = le nom du chanteur de la chanson,
• %A = le nom de l’artiste du disque,
• %d = le nom de l’album.
Si vous voulez stocker vos ﬁchiers musique dans le répertoire ~/music/, vous pouvez par exemple mettre dans la case
Format des ﬁchiers MP3 : ~/music/%A/%d/%t-%a-%n.ogg. Ensuite, allez dans l’onglet Options et cochez Efface les
ﬁchiers Wav après l’encodage et réglez le Bitrate de l’encodage (kbits/sec) à 128 ou 160 ou plus selon la qualité que
vous voulez obtenir.
• faites le tour des onglets restants, mais nous avons réglé l’essentiel.
153Chapitre 36. La musique sous X
Retournez dans l’onglet Pistes et sélectionnez les pistes que vous voulez encoder par un clic droit sur celles-ci (pour les
sélectionner toutes d’un seul coup, cliquez sur le titre de la dernière colonne).
Pour commencer l’extraction et l’encodage, allez dans l’onget Extr. et cliquez sur Extr. + Encodage.
Patientez... tout cela prend du temps, et l’encodage prend énormément de ressources processeur !
Vous préfèrez quand même utiliser le format MP3...
Comme l’encodage MP3 sans paiement de royalties est illégal, n’espèrez pas trouver d’encodeur MP3 dans la distribution
Debian ! Si vous voulez quand même encoder en MP3, téléchargez BladeEnc, un encodeur MP3 libre : allez sur un point
de distribution de BladeEnc (http://www2.arnes.si/~mmilut/BladeEnc.html), téléchargez le package Debian
BEnc-version-LinuxSid-i386.deb puis installez-le :
# dpkg -i BEnc-version-LinuxSid-i386.deb
Relancez grip ; dans l’onglet Conﬁguration / MP3 / Encodeur, il vous sufﬁt alors de sélectionner comme encodeur
bladeenc au lieu de oggenc.
154Chapitre 37. VLC, un player multimédia
VideoLAN, c’est quoi ?
VideoLAN est un projet libre développé par des élèves de l’Ecole Centrale Paris (http://www.ecp.fr) et des dizaines de
développeurs à travers le monde. L’objectif est de diffuser de la vidéo numérique haute résolution sur un réseau
informatique. Une solution Client / Serveur permet de diffuser sur le réseau des ﬁchiers MPEG, des DVDs, des chaînes
satellites, des chaînes de la télévision numérique terrestre ou encore la vidéo d’une caméra encodée en temps réel.
VLC, alias VideoLAN Client, est capable de lire :
• des ﬁchiers MPEG-1, MPEG-2 et MPEG-4 / DivX, etc...
• des DVDs et des VCDs,
• depuis une carte satellite,
• depuis le réseau (utile pour la solution globale Client / Serveur).
Pour plus d’informations, je vous invite à visiter le site web de VideoLAN (http://www.videolan.org) et en particulier la
page "features" du VLC (http://www.videolan.org/vlc/features.html).
Installer VLC
Rajoutez comme source pour les packages Debian le site de VideoLAN, ce qui vous permettra d’installer libdvdcss, une
librairie qui permet de décrypter les DVDs, et d’avoir une version récente de VLC si vous êtes en Woody (VLC est
régulièrement mis-à-jour dans la Sid). Pour cela, ajoutez la ligne suivante au ﬁchier /etc/apt/sources.list :
deb http://www.videolan.org/pub/videolan/debian $(ARCH)/
Ensuite, mettez à jour les sources :
# apt-get update
Méthode Woody
Installez VLC avec son interface Gnome et libdvdcss :
# apt-get install libdvdcss2 gnome-vlc
Méthode Sid
Installez VLC avec son interface wxWindows (qui est l’interface la plus à jour) et libdvdcss :
# apt-get install libdvdcss2 wxvlc
Lancer VLC
Pour lancer VLC, il sufﬁt d’utiliser la commande vlc. Ensuite, l’interface est intuitive et tout se fait au clic !
155Chapitre 37. VLC, un player multimédia
Note : Si vous voulez lire des DVDs, vériﬁez que vous avez bien l’accès en écriture au device correspondant au lecteur
de DVD.
Figure 37-1. Interface wxWindows de VLC
156Chapitre 38. La bureautique avec OpenOfﬁce.org
OpenOfﬁce.org (http://www.openofﬁce.org/) est une suite bureautique OpenSource très complète, qui comprend un
traitement de texte, un tableur, un outil pour faire des présentations et un logiciel de dessin. Elle a l’avantage d’être
également disponible sous Windows et Mac OS X, tout en étant compatible avec les formats de ﬁchiers de Microsoft Ofﬁce
: vous pouvez ouvrir des documents Word, Excel et PowerPoint, et enregistrer vos documents dans ces différents formats.
OpenOfﬁce est le descendant de StarOfﬁce 5.2 qui était une suite bureautique gratuite éditée par Sun Microsystems. Sun a
décidé d’ouvrir le code source de StarOfﬁce et de lancer le projet OpenOfﬁce, mais Sun continue de sortir de nouvelles
versions de StarOfﬁce (StarOfﬁce 6...) désormais payantes et packagées avec des fonctions supplémentaires.
Installer OpenOfﬁce.org
Méthode Woody
OpenOfﬁce est présent dans la Sid, mais pas dans la Woody. Pour l’installer sur une Woody, il faut donc ajouter une source
supplémentaire de packages Debian. Pour cela, éditez le ﬁchier /etc/apt/sources.list et rajoutez la ligne suivante :
deb http://ftp.freenet.de/pub/debian-openoffice/ woody main contrib
Mettez à jour la liste des packages puis installez les packages requis :
# apt-get update
# apt-get install openoffice.org-l10n-fr openoffice.org-help-fr openoffice.org-spellcheck-fr-fr
Méthode Sid
OpenOfﬁce étant présent dans la Sid, il sufﬁt d’installer les packages :
# apt-get install openoffice.org-l10n-fr openoffice.org-gnome
Lancer OpenOfﬁce.org
Pour lancer OpenOfﬁce, utilisez une des commandes ci-dessous :
Fonction Commande
Traitement de texte oowriter
Tableur oocalc
Présentation ooimpress
Dessin / Schémas / Organigrammes oodraw
157Chapitre 38. La bureautique avec OpenOfﬁce.org
Figure 38-1. Traitement de texte d’OpenOfﬁce
Pour faire fonctionner le correcteur orthographique, allez dans le menu Outils / Options, puis dans la section Paramètres
Linguistiques / Linguistique et cochez OpenOfﬁce MySpell SpellChecker dans la première liste ; cliquez sur le bouton
Editer en face de la première liste et cochez de nouveau OpenOfﬁce MySpell SpellChecker dans cette nouvelle boîte de
dialogue ; puis cliquez sur Fermer. Réglez les options pour la correction orthographique dans la liste du bas, puis validez
par OK.
Pour l’utilisation proprement dite, nous vous laissons découvrir : c’est très simple, et ça ressemble beaucoup à Microsoft
Ofﬁce ! Si vous préférez être guidé dans votre apprentissage, il existe des guides et des HOWTOs en français disponibles
sur le la partie francophone (http://fr.openofﬁce.org/Documentation/Index.html) du site ofﬁciel d’OpenOfﬁce.
158Chapitre 39. La bureautique sans OpenOfﬁce
Vous avez peut-être remarqué qu’OpenOfﬁce est très puissant et très complet... mais il est très gourmand en ressources et
met une éternité à se lancer.
Nous vous proposons donc trois alternatives à OpenOfﬁce :
• AbiWord (http://www.abisource.com/) pour le traitement de texte,
• GNUmeric (http://www.gnome.org/projects/gnumeric/) pour les tableurs,
• MagicPoint (http://www.mew.org/mgp/) pour les présentations.
Le traitement de texte avec AbiWord
Installation
# apt-get install abiword-gnome
Screenshot
Figure 39-1. Abiword
159Chapitre 39. La bureautique sans OpenOfﬁce
Les tableurs avec GNUmeric
Installation
# apt-get install gnumeric libguppi16
Screenshot
Figure 39-2. GNUmeric
Les présentations avec Magic Point
Installation
# apt-get install mgp libjpeg-progs
Utilisation
Magic Point n’est pas un outil WYSIWYG... il faut écrire la présentation avec un éditeur de texte en utilisant une syntaxe
bien précise, puis lancer Magic Point : il va alors interpréter le ﬁchier et afﬁcher la présentation.
Un tutoriel expliquant la syntaxe est disponible à cette adresse
(http://www.fr.linuxfocus.org/Francais/S … e158.shtml).
160Chapitre 39. La bureautique sans OpenOfﬁce
Un bon exemple pour apprendre la syntaxe est le ﬁchier Magic Point de la conférence Debian de Samuel Hocevar du 24
avril 2002 : téléchargez-le (http://www.via.ecp.fr/~alexis/formation … 424.tar.gz),
décompressez-le et lancez la présentation (il utilise un ﬁchier Makeﬁle, comme en programmation) :
% tar xvzf conf-debian-20020424.tar.gz
% cd conf-debian-20020424
% make show
Figure 39-3. Magic Point
Magic Point permet de convertir très simplement la présentation au format HTML, avec la commande :
% mkdir html
% make html
... et vous pouvez voir le résultat sur le site Web de Samuel Hocevar (http://sam.zoy.org/doc/debian/20020424/).
Lire des ﬁchiers PDF
avec xpdf
xpdf est un programme GPL pour lire des ﬁchiers PDF. Pour l’installer :
# apt-get install xpdf-reader
Pour lire un ﬁchier PDF :
% xpdf fichier1.pdf &
161Chapitre 39. La bureautique sans OpenOfﬁce
avec Acrobat Reader
Téléchargez Acrobat Reader pour Linux sur la page Web de téléchargement
(http://www.adobe.com/products/acrobat/readstep2.html) en sélectionnant la langue English et la plateforme Linux.
Déplacez le ﬁchier que vous venez de télécharger dans un répertoire temporaire, puis décompressez-le et exécutez le script
d’installation :
# tar xvzf linux-version.tar.gz
# ./INSTALL
Gardez le chemin d’installation par défaut /usr/local/Acrobat5 quand le script d’installation vous pose la question
Enter installation directory for Acrobat. Enﬁn, déplacez le binaire acroread qu’il a installé au mauvais endroit :
# mv /usr/local/Acrobat5/bin/acroread /usr/local/bin/
Acrobat Reader se lance alors avec la commande acroread.
162Chapitre 40. La manipulation d’images
Les outils d’ImageMagick
# apt-get install imagemagick
ImageMagick (http://www.imagemagick.com/) est un ensemble d’outils en ligne de commande très pratiques :
• La commande display permet de visualiser une image :
% display nom_du_fichier_image &
• La commande identify permet d’avoir des informations sur l’image :
% identify mon_image.jpg
mon_image.jpg JPEG 861x306 DirectClass 8-bit 142kb 0.0u 0:01
• La commande convert permet de convertir d’un format à un autre. Par exemple, pour passer une image du format JPEG
au format EPS :
% convert image1.jpg image1.eps
On peut aussi redimensionner une image :
% convert -geometry 100x100 image_originale.jpg image_redimensionnée.jpg
Albums photos
sous X
Le programme gthumb (http://gthumb.sourceforge.net/) permet de browser un répertoire d’images : il construit des
vignettes et permet de visionner les images en sélectionnant les vignettes, ou de faire un diaporama.
# apt-get install gthumb
Pour l’utiliser, il sufﬁt de le lancer en lui indiquant le répertoire contenant les photos :
% gthumb mes_photos/ &
163Chapitre 40. La manipulation d’images
Figure 40-1. gThumb
en HTML
Pour faire des albums aussi beaux que ceux de Jihem (cf son album de photos sur Paris
(http://sphere.dnsalias.org/gallery/paris)), vous pouvez utiliser gallery qui est disponible dans le package du même nom.
Le jour où j’essayerais, je donnerais quelques instructions ici...
La retouche d’images avec The Gimp
The Gimp (http://www.gimp.org) est un logiciel de retouche d’image sous licence GPL. Il est également disponible pour
Windows. Il est souvent comparé à Photoshop.
Installez les packages requis :
Méthode Woody
# apt-get install gimp1.2 gimp1.2-nonfree
Note : Le package gimp1.2-nonfree inclut le support des images GIF et TIFF dont l’utilisation est gênée par le brevet
sur la compression LWZ.
164Chapitre 40. La manipulation d’images
Méthode Sid
# apt-get install gimp
Utiliser The Gimp
L’utilisation de The Gimp est très simple. La plupart des fonctions sont accessibles par le menu contextuel, que l’on ouvre
par clic-droit sur l’image.
Figure 40-2. The Gimp
The Gimp permet aussi de faire facilement des captures d’écran sous X : menu Fichier, Acquisition, Capture d’écran.
165Chapitre 41. Graver des CDs audio et des CDs de
données
Préliminaires
Conﬁgurer le système
Le système et le noyau doivent avoir été conﬁgurés pour que la gravure de CD soit possible. Si vous avez bien suivi mes
instructions aux chapitres Conﬁguration du noyau Linux et Tirer parti du nouveau noyau - 1, il ne devrait pas y avoir de
problèmes !
Installer les packages
Je vous propose d’installer le logiciel de gravure Eroaster (http://sourceforge.net/projects/eroaster/), qui est en réalité une
interface Gnome pour les outils de gravure en mode texte mkisofs (programme de génération d’images ISO) et cdrecord
(programme de gravure de CDs) :
# apt-get install eroaster
Utiliser Eroaster
Eroaster se lance avec la commande du même nom. Si vous avez installé cdrecord SUID root et si vous vous êtes rajouté
au groupe cdrom (comme je l’avais conseillé au chapitre Tirer parti du nouveau noyau - 1), alors vous pouvez lançer le
programme en tant que simple utilisateur.
166Chapitre 41. Graver des CDs audio et des CDs de données
Figure 41-1. Eroaster
Commencez par aller dans l’onglet Préférences et regardez les différentes options. Vous devez notamment conﬁgurer le
graveur et le lecteur éventuel en cliquant sur les boutons Detect Recorder et Detect Reader et régler la vitesse pour les
CD-R et les CD-RW. Décochez l’option Generate Joliet directory information (j’ai rencontré des problèmes lors de la
génération de l’image ISO quand cette option était activée).
Ensuite, s’il s’agit d’un CD-RW, il faut effaçer le CD : allez dans l’onglet Special et cliquez sur :
• Erase disc [full] si le CR-RW est tout neuf,
• Erase disc [minimal] si le CD-RW a déjà été utilisé.
Enﬁn, allez dans l’onglet Data CD si vous voulez créer un CD de données, ou dans l’onglet Audio CD si vous voulez créer
un CD audio. Après avoir sélectionné les ﬁchiers de données ou de musique à graver, cliquez sur Burn CD pour démarrer
la gravure !
L’onglet ISO Image permet d’obtenir un certain nombre d’informations sur une image ISO. L’onglet Read CD permet de
convertir un CD de données en une image ISO, ou de faire de l’extraction audio sur un CD audio (je vous avais déjà
expliqué comment on pouvait le faire avec xmms). L’onglet Copy CD permet de faire de la copie directe de lecteur à
graveur, mais attention aux problèmes de synchronisation des vitesses : si le lecteur n’arrive pas à suivre la cadence du
graveur, et si le graveur ne supporte pas le burnproof , alors vous risquez de rater la gravure !
167Chapitre 42. L’économiseur d’écran
xscreensaver (http://www.jwz.org/xscreensaver/) est l’utilitaire qui gère et contient les économiseurs d’écran pour XFree.
Installation des packages
Installez les packages d’xscreensaver :
# apt-get install xscreensaver-gnome
Note : Si vous avez une carte d’accélération 3D et que le DRI marche bien sur votre système, vous pouvez installer en
plus le package xscreensaver-gl pour avoir les économiseurs d’écran 3D.
Conﬁguration d’xscreensaver
Fermez votre session Gnome et redémarrez le serveur graphique : xscreensaver sera alors automatiquement activé au
démarrage de Gnome.
Pour conﬁgurer xscreensaver :
• en Woody, allez dans le Centre de Contrôle Gnome (dont l’icône est une boîte à outils) et cliquez sur Propriétés de
l’économiseur d’écran.
• en Sid, cliquez sur la patte Gnome et allez dans le menu Préférences de bureau / Préférences avancées / Screensaver.
Dans le premier onglet, vous avez une liste d’économiseurs d’écran, dont beaucoup sont activés. Si vous ne voulez qu’un
seul économiseur d’écran, désélectionnez-les tous sauf celui que vous avez choisi. Sinon, vous pouvez garder une
multitude d’économiseurs d’écran sélectionnés et il choisira au hasard un économiseur d’écran dans la liste de ceux qui
sont sélectionnées, puis passera à un autre économiseur d’écran au bout d’un temps spéciﬁé dans le champ Cycle After.
168Chapitre 42. L’économiseur d’écran
Figure 42-1. Menu de conﬁguration d’xscreensaver
Verrouiller l’écran
Pour verrouiller l’écran avec l’économiseur d’écran sans attendre qu’il ne se déclenche, utilisez la commande suivante :
% xscreensaver-command -lock

Admin · 21-08-2008 20:27:04

169Chapitre 43. Se logguer en graphique
Il est possible de démarrer le serveur graphique dès le démarrage de Linux et de se logguer dans une belle fenêtre
graphique comme sous Windows 2000 ou XP Pro.
Figure 43-1. Gnome Display Manager
Pour cela, nous vous proposons d’installer GDM (http://www.5z.com/jirka/gdm.html) (Gnome Display Manager). C’est
tout à fait facultatif : vous pouvez garder l’ancien schéma où les utilisateurs se loggent en console et lancent le serveur
graphique avec la commande startx.
Installation et conﬁguration de GDM
Installer le package
Fermez votre serveur graphique puis installez le package requis :
# apt-get install gdm
Conﬁgurer GDM
Méthode Woody
Pour avoir la touche euro sous X avec GDM, il faut rajouter la commande xmodmap que l’on avait mis dans le ﬁchier
/etc/X11/Xsession.d/60xmodmap à la ﬁn du ﬁchier /etc/gdm/PreSession/Default :
# cat /etc/X11/Xsession.d/60xmodmap >> /etc/gdm/PreSession/Default
170Chapitre 43. Se logguer en graphique
Méthode Sid
Pour avoir la touche euro sous X avec GDM, éditez le ﬁchier /etc/gdm/PreSession/Default et ajoutez la ligne
suivante juste après la première ligne qui commence par PATH= :
/usr/bin/X11/xmodmap -e ’keycode 26 = e E currency’
Lancer GDM
Démarrez GDM :
# /etc/init.d/gdm start
Starting GNOME Display Manager: gdm.
Le fait de lancer GDM a pour effet de lancer le serveur graphique et GDM.
Note : Quand vous changez la conﬁguration du serveur graphique et que vous voulez le redémarrer, il vous faudra
utiliser dorénavant la commande suivante :
# /etc/init.d/gdm restart
Stopping GNOME Display Manager: gdm.
Starting GNOME Display Manager: gdm.
Se logguer avec GDM
Allez sur la console n◦7 et logguez-vous en entrant votre login et votre mot de passe.
Vous pouvez maintenant conﬁgurer GDM sous X avec une belle interface graphique. Ouvrez un xterm, passez root avec la
commande su puis lançez le programme de conﬁguration de GDM :
# gdmconfig
Méthode Woody
Par exemple, pour mettre GDM en français, il faut aller dans l’onglet Comportement du login et mettre fr_FR comme
locale par défaut.
Méthode Sid
Par exemple, pour avoir un beau GDM graphique, sélectionnez Bannière graphique pour le paramètre Bannière Locale
dans l’onglet Général.
171Chapitre 43. Se logguer en graphique
Figure 43-2. Bannière graphique de GDM (Sid)
172IV. Debian GNU/Linux en réseau
Introduction
Les trois premières parties de cette formation vous ont permis (nous l’espérons !) de savoir refaire avec Linux ce que vous
saviez déjà faire avec Windows.
Dans cette quatrième partie, nous proposons à ceux qui ont un accès permanent à Internet et/ou qui sont connectés à un
réseau local de découvrir une des grandes forces de Linux : ses capacités de serveur dans un réseau IP.Chapitre 44. L’accès à distance par SSH
Introduction et mise-en-garde
Qu’est-ce que SSH ?
SSH signiﬁe Secure SHell. C’est un protocole qui permet de faire des connexions sécurisées (i.e. cryptées) entre un serveur
et un client SSH. Nous allons utiliser le programme OpenSSH (http://www.openssh.org/), qui est la version libre du client
et du serveur SSH.
Mise en garde sur la sécurité
Nature du problème
Installer un serveur SSH permet aux utilisateurs d’accéder au système à distance, en rentrant leur login et leur mot de passe
(ou avec un mécanisme de clés). Cela signiﬁe aussi qu’un pirate peut essayer d’avoir un compte sur le système (pour
accéder à des ﬁchiers sur le système ou pour utiliser le système comme une passerelle pour attaquer d’autres systèmes) en
essayant plein de mots de passes différents pour un même login (il peut le faire de manière automatique en s’aidant d’un
dictionnaire électronique). On appelle ça une attaque en force brute.
Il y a donc trois contraintes majeures pour garder un système sécurisé après avoir installé un serveur SSH :
• avoir un serveur SSH à jour au niveau de la sécurité, ce qui doit être le cas si vous faites consciencieusement les mises à
jour de sécurité en suivant la procédure Debian, comme expliqué au chapitre Le réseau et la sécurité ;
• que les mots de passes de TOUS les utilisateurs soient sufﬁsamment complexes pour résister à une attaque en force brute
;
• surveiller les connexions en lisant régulièrement le ﬁchier de log /var/log/auth.log.
Choisir des mots de passe complexes
Un mot de passe complexe est un mot de passe qui ne veut rien dire, qui n’est pas dans le dictionnaire et qui comporte au
moins 8 caractères, de préférence avec un mélange de lettres minuscules, de lettres majuscules, de chiffres et de caractères
de ponctuation.
Une bonne méthode pour obtenir un mot de passe complexe et facile à retenir consiste à choisir une phrase et à prendre la
première lettre de chaque mot, avec quelques complications en plus.
Par exemple, la phrase "Linux, moi j’y comprends rien de rien !" donne le mot de passe Lmjycr2r!
Tester la complexité des mots de passe
Pour vériﬁer que les mots de passe des utilisateurs du système sont vraiment complexes, le root peut les soumettre à un
cracker de mots de passe... et voir combien de temps ils résistent !
Les mots de passes des utilisateurs sont stockés dans le ﬁchier /etc/shadow. Seul l’utilisateur root peut lire ce ﬁchier.
Pour tester la complexité des mots de passes, le root peut donc installer le programme john
(http://www.openwall.com/john/) et le lancer sur le ﬁchier /etc/shadow :
# apt-get install john
# john /etc/shadow
174Chapitre 44. L’accès à distance par SSH
Quand john a trouvé un mot de passe, il l’afﬁche avec le login associée.
Attention, john utilisera le processeur à 100 % ! Il est donc conseillé de lui donner un priorité faible (commande nice ou
renice) si la machine doit être utilisée pendant ce temps. Plus le nombre d’utilisateurs est grand, plus il faudra laisser
tourner john longtemps pour que le test soit signiﬁcatif.
Le système de clés de SSH
La théorie de la cryptographie asymétrique
SSH utilise la cryptographie asymétrique RSA ou DSA. En cryptographie asymétrique, chaque personne dispose d’un
couple de clé : une clé publique et une clé privée. La clé publique peut être librement publiée tandis que la clé privée doit
rester secrète. La connaissance de la clé publique ne permet pas d’en déduire la clé privée.
Si la personne A veut envoyer un message conﬁdentiel à la personne B, A crypte le message avec la clé publique de B et
l’envoie à B sur un canal qui n’est pas forcément sécurisé. Seul B pourra décrypter le message en utilisant sa clé privée.
La théorie de la cryptographie symétrique
SSH utilise également la cryptographie symétrique. Son principe est simple : si A veut envoyer un message conﬁdentiel à
B, A et B doivent d’abord posséder une même clé secrète. A crypte le message avec la clé secrète et l’envoie à B sur un
canal qui n’est pas forcément sécurisé. B décrypte le message grâce à la clé secrète. Toute autre personne en possession de
la clé secrète peut décrypter le message.
La cryptographie symétrique est beaucoup moins gourmande en ressources processeur que la cryptographie asymétrique...
mais le gros problème est l’échange de la clé secrète entre A et B. Dans le protocole SSL, qui est utilisé par SSH et par les
navigateurs Web, la cryptographie asymétrique est utilisée au début de la communication pour que A et B puissent
s’échanger un clé secrète de manière sécurisée... puis la suite la communication est sécurisée grâce à la cryptographie
symétrique en utilisant la clé secrète échangée.
Pour plus d’informations sur la cryptographie, je vous conseille la lecture du dossier consacré à ce sujet par le magazine
pour la science (http://www.pourlascience.com) dans son hors-série de Juillet-Octobre 2002.
L’établissement d’une connexion SSH
Un serveur SSH dispose d’un couple de clés RSA stocké dans le répertoire /etc/ssh/ et généré lors de l’installation du
serveur. Le ﬁchier ssh_host_rsa_key contient la clé privée et a les permissions 600. Le ﬁchier
ssh_host_rsa_key.pub contient la clé publique et a les permissions 644.
Nous allons suivre par étapes l’établissement d’une connexion SSH :
1. Le serveur envoie sa clé publique au client.
2. Le client génère une clé secrète et l’envoie au serveur, en cryptant l’échange avec la clé publique du serveur
(cryptographique asymétrique). Le serveur décrypte la clé secrète en utilisant sa clé privée, ce qui prouve qu’il est bien
le vrai serveur.
3. Pour le prouver au client, il crypte un message standard avec la clé secrète et l’envoie au client. Si le client retrouve le
message standard en utilisant la clé secrète, il a la preuve que le serveur est bien le vrai serveur.
4. Une fois la clé secrète échangée, le client et le serveur peuvent alors établir un canal sécurisé grâce à la clé secrète
commune (cryptographie symétrique).
175Chapitre 44. L’accès à distance par SSH
5. Une fois que le canal sécurisé est en place, le client va pouvoir envoyer au serveur le login et le mot de passe de
l’utilisateur pour vériﬁcation. La canal sécurisé reste en place jusqu’à ce que l’utilisateur se déloggue.
La seule contrainte est de s’assurer que la clé publique présentée par le serveur est bien sa clé publique... sinon le client
risque de se connecter à un faux serveur qui aurait pris l’adresse IP du vrai serveur (ou toute autre magouille). Une bonne
méthode est par exemple de demander à l’administrateur du serveur quelle est le ﬁngerprint de la clé publique du serveur
avant de s’y connecter pour la première fois. Le ﬁngerprint d’une clé publique est une chaîne de 32 caractères
hexadécimaux unique pour chaque clé ; il s’obtient grâce à la commande ssh-keygen -l.
Installation et conﬁguration de SSH
Installation du client et du serveur SSH
Le client et le serveur SSH sont dans le même package ssh. Ce package est installé dès la première utilisation de dselect. Si
vous avez bien respecté nos consignes lors de la procédure d’installation (chapitre Les packages) vous n’avez pas activé le
serveur SSH.
Maintenant que votre système est à jour niveau sécurité, vous pouvez activer le serveur SSH, si vous le souhaitez. Pour
cela, supprimez le ﬁchier /etc/ssh/sshd_not_to_be_run et lancer SSH :
# rm /etc/ssh/sshd_not_to_be_run
# /etc/init.d/ssh start
Starting OpenBSD Secure Shell server: sshd.
Conﬁguration du serveur SSH
Le ﬁchier de conﬁguration du serveur SSH est /etc/ssh/sshd_config. A ne pas confondre avec le ﬁchier
/etc/ssh/ssh_config, qui est le ﬁchier de conﬁguration du client SSH.
Nous allons vous commenter les lignes les plus importantes de ce ﬁchier de conﬁguration :
• Port 22
Signiﬁe que le serveur SSH écoute sur le port 22, qui est le port par défaut de SSH. Vous pouvez le faire écouter sur un
autre port en changeant cette ligne. Vous pouvez aussi le faire écouter sur plusieurs ports à la fois en rajoutant des lignes
similaires.
• Protocol 2
Signiﬁe que votre serveur SSH accepte uniquement la version 2 du protocole SSH. C’est une version plus sécurisée que
la version 1 du protocole. Seuls certains vieux clients SSH ne savent faire que du SSH version 1. Si vous voulez que le
serveur accepte les deux protocoles, changez la ligne en :
Protocol 2,1
• PermitRootLogin yes
Signiﬁe que vous pouvez vous logguer en root par SSH. Vous pouvez changer et mettre "no", ce qui signiﬁe que pour
vous connecter en root à distance, vous devrez d’abord vous connecter par SSH en tant que simple utilisateur, puis
utiliser la commande su pour devenir root. C’est une sorte de double protection.
• X11Forwarding yes
176Chapitre 44. L’accès à distance par SSH
Signiﬁe que vous allez pouvoir travailler en export display par SSH. Ce sera expliqué plus tard, dans la troisième partie
de cette formation Faire de l’export display.
Si vous avez modiﬁé le ﬁchier de conﬁguration du serveur, il faut lui dire de relire son ﬁchier de conﬁguration :
# /etc/init.d/ssh reload
Reloading OpenBSD Secure Shell server’s configuration.
Se logguer par SSH
Authentiﬁcation par mot de passe
C’est la méthode la plus simple. Depuis la machine cliente, tapez :
% ssh login@nom_DNS_du_serveur_SSH
• Si c’est la première connexion SSH depuis ce client vers ce serveur, il vous demande si le ﬁngerprint de la clé publique
présentée par le serveur est bien le bon. Pour être sûr que vous vous connectez au bon serveur, vous devez connaître de
façon certaine le ﬁngerprint de sa clé publique et la comparer à celle qu’il vous afﬁche. Si les deux ﬁngerprints sont
identiques, répondez yes, et la clé publique du serveur est alors rajoutée au ﬁchier ~/.ssh/known_hosts.
• Si vous vous êtes déjà connecté depuis ce client vers le serveur, sa clé publique est déjà dans le ﬁchier
~/.ssh/known_hosts et il ne vous demande donc rien.
Ensuite, entrez votre mot de passe... et vous verrez apparaître le prompt, comme si vous vous êtiez loggué en local sur la
machine.
Authentiﬁcation par clé
Au lieu de s’authentiﬁer par mot de passe, les utilisateurs peuvent s’authentiﬁer grâce à la cryptographie asymétrique et
son couple de clés privée/publique, comme le fait le serveur SSH auprès du client SSH.
Générer ses clés
Pour générer un couple de clés DSA, tapez :
% ssh-keygen -t dsa
Les clés générées ont par défaut une longueur de 1024 bits, ce qui est aujourd’hui considéré comme sufﬁsant pour une
bonne protection.
Par défaut (il demande conﬁrmation lors du processus de création), la clé privée est stockée dans le ﬁchier
~/.ssh/id_dsa avec les permissions 600 et la clé publique est stockée dans le ﬁchier ~/.ssh/id_dsa.pub avec les
permissions 644.
Lors de la création, il vous demande une pass phrase qui est un mot de passe pour protéger la clé privée. Cette pass phrase
sert à crypter la clé privée. La pass phrase vous sera alors demandée à chaque utilisation de la clé privée, c’est à dire à
chaque fois que vous vous logguerez en utilisant cette méthode d’autentiﬁcation. Un mécanisme appelé ssh-agent permet
de ne pas rentrer le mot de passe à chaque fois... comme nous le verrons un peu plus loin dans ce chapitre.
Note : Vous pouvez à tout moment changer la pass phrase qui protège votre clé privée avec la commande
ssh-keygen -p.
177Chapitre 44. L’accès à distance par SSH
Autoriser votre clé publique
Pour cela, il sufﬁt de copier votre clé publique dans le ﬁchier ~/.ssh/authorized_keys de la machine sur laquelle vous
voulez vous logguer à distance. La commande suivante permet de réaliser cette opération via SSH :
% ssh-copy-id -i ~/.ssh/id_dsa.pub login@nom_DNS_du_serveur
et entrez le mot de passe de votre compte sur le serveur.
Se logguer
La commande est la même que pour une autentiﬁcation par mot de passe.
Transfert de ﬁchiers par SSH
En console
Le transfert de ﬁchiers par SSH est possible de deux façons :
• avec scp (comme Ssh CoPy), qui s’utilise la même manière que la commande cp ;
• avec yafc, dont je vous avais déjà parlé au chapitre Le Web et le FTP en console pour les transferts de ﬁchiers par FTP.
Encore une fois, vous pouvez utiliser la méthode d’autentiﬁcation par mot de passe ou par clés, l’utilisation est la même.
Utiliser SCP
Pour illustrer la syntaxe, je vais donner quelques exemples :
• pour transférer le ﬁchier test1.txt situé dans le répertoire courant vers le home du compte toto de la machine
ordi1.exemple.org sur laquelle tourne un serveur SSH :
% scp test1.txt toto@ordi1.exemple.org:
• pour récupérer le ﬁchier test2.txt situé le home de l’utilisateur toto de la machine ordi2.exemple.org et l’écrire dans
le répertoire courant :
% scp toto@ordi2.exemple.org:test2.txt .
• pour récupérer tous les ﬁchiers ayant l’extension .txt situés dans le répertoire /usr/local de la machine
ordi2.exemple.org et l’écrire dans le sous-répertoire test-scp du répertoire courant :
% scp toto@ordi2.exemple.org:/usr/local/*.txt test-scp
• pour transférer l’intégralité du sous-répertoire test-scp du répertoire courant vers le sous répertoire incoming du
home de l’utilisateur toto de la machine ordi1.exemple.org :
% scp -r test-scp toto@ordi1.exemple.org:incoming
178Chapitre 44. L’accès à distance par SSH
Utiliser yafc
Je vous avais déjà parlé d’utilisation de yafc comme client FTP dans la section Le FTP en console. Mais ce que je ne vous
avais pas dit, c’est que yafc sait aussi transférer des ﬁchiers par SSH !
Pour l’installation et la conﬁguration de yafc, reportez-vous à la section Le FTP en console.
Pour se connecter par SSH en utilisateur toto sur le serveur ordi1.exemple.org :
% yafc ssh://toto@ordi1.exemple.org
Ensuite, les commandes sont exactement les mêmes que lors de l’utilisation de yafc comme client FTP !
En graphique
gFTP, dont l’installation est expliquée à la ﬁn du chapitre Le Web, le mail et les news en mode graphique fait également
ofﬁce de client SFTP.
Lançez gFTP avec la commande gftp. Ensuite, allez dans le menu FTP / Options, sélectionnez l’onglet SSH, mettez le
paramètre Chemin sftp-server SSH2 à /usr/lib/ et cliquez sur Enregistrez.
Pour vous connecter, entrez le nom DNS du serveur ainsi que le login et le mot de passe, sélectionnez SSH2 à la place de
FTP dans la liste déroulante et tapez Entrée.
Figure 44-1. gFTP en SFTP
179Chapitre 44. L’accès à distance par SSH
Se logguer par SSH sans taper de mot de passe
Le principe
Cette section s’adresse à ceux qui utilisent un couple de clés publiques / privées, et qui ont crypté leur clé privée avec une
pass phrase (c’est la conﬁguration la plus sûre). Par conséquent, le client SSH demande la pass phrase à chaque utilisation
des clés pour s’autentiﬁer.
Pour éviter d’avoir à taper systématiquement sa pass phrase, il faut utiliser ssh-agent : ce programme tourne en tâche de
fond et garde la clef en mémoire. La commande ssh-add permet de donner sa clé à ssh-agent. Ensuite, quand vous utilisez
le client SSH, il contacte ssh-agent pour qu’il lui donne la clé.
La pratique
en console
Dans une console, ouvrez un screen avec ssh-agent en tâche de fond :
% ssh-agent screen
Puis donnez votre clé à l’agent :
% ssh-add
Il vous demande alors votre pass phrase. Maintenant que votre clé a été transmise à l’agent, vous pouvez vous connecter
sans entrer de mot de passe à toutes les machines pour lesquelles vous avez mis votre clé publique dans le ﬁchier
~/.ssh/authorized_keys.
en mode graphique
Démarrez le serveur graphique avec la commande :
% ssh-agent startx
Puis ouvrez un xterm et tapez :
% ssh-add
L’agent sera alors actif pour toutes les applications que vous utiliserez en mode graphique, et notamment tous les xterm
ouverts ou que vous ouvrirez.
avec GDM
Si vous utilisez GDM, l’agent SSH a déjà été lançé par GDM. Vous n’avez donc plus qu’à exécuter ssh-add une fois que
vous êtes loggué.
Faire des tunnels SSH
Faire un tunnel SSH est un moyen simple de crypter n’importe quelle communication TCP entre votre machine et une
machine sur laquelle vous avez un accès SSH.
Par exemple, pour établir un tunnel SSH pour une connexion HTTP vers la machine serveur.exemple.org :
180Chapitre 44. L’accès à distance par SSH
% ssh -L 2012:serveur.exemple.org:80 toto@serveur.exemple.org
où 2012 est le port sur la machine cliente à partir duquel la connexion entre dans le tunnel SSH (le port doit être supérieur à
1024 si on ne veut pas avoir à lançer le tunnel en tant que root).
Ensuite, il sufﬁt de lançer un navigateur Web en lui demandant de se conneecter en local sur ce port :
% w3m http://localhost:2012
Figure 44-2. Exemple de tunnel SSH
Et le bon vieux Telnet... ?
Qu’est-ce que Telnet ?
Telnet, c’est comme SSH... mais en moins bien ! Telnet est un protocole qui permet d’accéder à distance à une machine,
mais la connexion n’est pas sécurisée : le mot de passe et les données sont transférées en clair ! Telnet ne permet pas de
faire des transferts de ﬁchiers. Il est donc conseillé de ne pas utiliser Telnet mais uniquement SSH.
Client et Serveur Telnet
Le client Telnet se trouve dans le package telnet. Ce package est installé par défaut.
Le serveur Telnet se trouve dans le package telnetd. Il n’y a aucune conﬁguration à faire.
Pour se connecter à un serveur Telnet, tapez :
% telnet nom_DNS_du_serveur_telnet
et ensuite rentrez votre login et votre mot de passe quand il vous le demande.
181Chapitre 45. Faire de l’export display
Qu’est-ce que l’export display ?
L’export display consiste à se logguer à distance en mode graphique, comme on le fait avec un client et un serveur SSH en
mode texte. On peut alors exécuter des applications graphiques sur le serveur distant : la fenêtre graphique de l’application
et son contenu seront envoyés par le réseau vers la machine cliente ; les données du clavier et de la souris de la machine
cliente sont envoyées vers le serveur.
L’export display nécessite une bonne connexion réseau entre le client et le serveur puisque le serveur envoie des images de
l’écran au client...
Figure 45-1. Le principe de l’export display
Se connecter à un Unix/Linux à distance...
depuis un autre Unix/Linux
Il y a trois possibilitées de connexion, sachant que seule la première est entièrement cryptée.
Export display par SSH
SSH possède une fonction d’export display. Il faut que le serveur SSH distant ait autorisé la fonction d’export display,
comme expliqué au chapitre L’accès à distance par SSH. Pour l’utiliser, tapez dans un xterm :
% ssh -X login@serveur.exemple.org
puis lancez l’application graphique de votre choix...
Export display classique
Le serveur graphique possède une fonction d’export display, mais qui n’est pas cryptée comme avec SSH. Il faut d’abord
autoriser les connexions en provenance du serveur X, puis demander au serveur X distant de renvoyer le display vers le
182Chapitre 45. Faire de l’export display
serveur X de la machine cliente :
% xhost + serveur.exemple.org
% ssh login@serveur.exemple.org
% export DISPLAY=client.exemple.org:0.0
Note : Pour que cela marche, il faut que le serveur X de la machine cliente ne soit pas lançé avec l’option -nolisten
tcp, ce qui est le cas par défaut !
Si vous utilisez la commande startx, enlevez cette option du ﬁchier /etc/X11/xinit/xserverrc :
#!/bin/sh
exec /usr/bin/X11/X -dpi 100
et redémarrez le serveur X.
Si vous utilisez GDM, enlevez cette option du paramètre command= de la section serveur-Standard du ﬁchier
/etc/gdm/gdm.conf :
[server-Standard]
name=Standard server
command=/usr/bin/X11/X -deferglyphs 16
et redémarrez GDM.
Export display avec XDMCP
Le protocole XDMCP permet de se logguer au serveur graphique d’une machine distante, et de faire exactement comme si
on était loggué sous X en local sur la machine.
Avertissement
Ce protocole fait tout transiter en clair sur le réseau, y compris les mots de passe !
Pour cela, installez GDM sur le serveur, comme expliqué au chapitre Se logguer en graphique. Toujours sur le serveur,
éditez le ﬁchier /etc/gdm/gdm.conf et modiﬁez la section xdmcp :
[xdmcp]
Enable=true
Redémarrez GDM :
# /etc/init.d/gdm restart
Stopping GNOME Display Manager: gdm.
Starting GNOME Display Manager: gdm.
Sur le client, vous pouvez alors vous logguer au serveur graphique distant. En console, tapez :
% X -query serveur.exemple.org
et vous devriez voir la fenêtre GDM du serveur :
183Chapitre 45. Faire de l’export display
Figure 45-2. Export display par XDMCP
Si vous avez déjà un serveur graphique de lançé sur le client et que vous ne pouvez pas le fermer, vous pouvez lancer un
deuxième serveur graphique depuis une console :
% X :1 -query serveur.exemple.org
Le deuxième serveur X est alors présent sur la console n◦13 ; pour y accéder depuis une autre console, vous pouvez vous
mettre sur la console n◦1 et faire Alt-Flèche Gauche.
depuis un Windows
Il sufﬁt d’installer sur le Windows un programme qui sait se connecter à un serveur X, comme Cygwin
(http://www.cygwin.com) qui a l’avantage d’être libre. Cygwin est en fait un environnement Unix complet pour Windows.
Installer Cygwin
Allez sur www.cygwin.com (http://www.cygwin.com) et cliquez sur l’icône Install Cygwin now qui se trouve en haut à
droite de la page. Téléchargez le ﬁchier setup.exe et exécutez-le. Le ﬁchier contient le programme d’installation, mais
pas Cygwin en lui-même.
La procédure d’installation démarre alors :
1. Une fois passé l’écran d’accueil, sélectionnez Install from Internet.
2. Sélectionnez le répertoire d’installation.
3. Sélectionnez un répertoire dans lequel il va écrire les ﬁchiers qu’il va télécharger.
4. Si vous devez passer par un proxy pour accéder à Internet, entrez ses paramètres. Sinon, sélectionnez Direct
Connection.
5. Sélectionnez un miroir dans la liste. Si vous êtes connecté au réseau VIA, entrez l’adresse
ftp://ftp.via.ecp.fr/pub/cygwin/ et cliquez sur Add.

Forums d'entraide informatique - Astuces - Conseils

#1 21-08-2008 20:26:45

Formation à Linux (4)

#2 21-08-2008 20:27:04

Re: Formation à Linux (4)

Pied de page des forums