Les informations qui suivent concernent le shell livré par défaut avec la plupart des distributions, le bien nommé « Bash ».

Le « prompt » est défini dans une variable d'environnement nommée « PS1 », celle-ci peut contenir des données statiques mais également des « séquences d'échappement » spéciales permettant d'afficher des données dynamiques comme le nom d'utilisateur courant, le répertoire courant, etc. Il est également possible de mettre de la couleur afin d'égayer un peu votre terminal et surtout de vous retrouvez dans vos différents comptes utilisateurs ou dans vos différentes machines.

Voici la liste des séquences d'échappement intéressantes :

\h : le nom de la machine (hostname) jusqu'au premier point
\H : le nom de la machine complet
\j : le nombre de processus fils lancés en arrière plan
\e : caractère d'échappement (utile pour les couleurs)
\n : nouvelle ligne
\r : retour chariot
\u : le nom d'utilisateur courant
\w : le chemin complet du répertoire de travail courant
\W : le répertoire de travail courant
\$ : affiche un # si l'utilisateur est root sinon affiche un $
\[ : début d'une séquence de caractères non imprimables
\] : fin d'une séquence de caractères non imprimables
\D{format} : la date selon le format passé en paramètre (cf. la syntaxe de « strftime »)

Les couleurs quant à elles sont des « séquences d'échappement ANSI » entourées d'un début et d'une fin de séquence de caractères non imprimables. Ces séquences ont un format bien déterminé : celui-ci commence par « ESC[ » et se termine par « m ». Entre ces deux parties, il faut indiquer un code de mise en forme (gras, souligné, clignotement, etc) ainsi qu'un code pour la couleur désirée, les deux champs étant séparés par un point-virgule.

Voici la liste des mises en forme les plus courantes :

 0 : normal
 1 : gras
 4 : souligné
 5 : clignotement
 7 : négatif
22 : désactivation du gras
24 : désactivation du souligné
25 : désactivation du clignotement

Et la liste des couleurs :

0 : noir
1 : rouge
2 : vert
3 : jaune
4 : bleu
5 : magenta
6 : cyan
7 : blanc

À ces dernières doit être additionné un nombre afin de définir si l'on veut modifier la couleur du fond ou du texte tout en réglant l'intensité :

 30 : couleur du texte, intensité normale
 40 : couleur du fond, intensité normale
 90 : couleur du texte, intensité élevée
100 : couleur du fond, intensité élevée

Pour voir votre PS1 actuel, tapez simplement dans un shell :

user@gnusquad:~$ echo $PS1
\[\e[1;42m\]\u@\H\[\e[0;40m\]:\w\$

Décortiquons cette ligne :

\[   : début d'une séquence de caractères non imprimables (pour la couleur)
\e[  : début d'une séquence ANSI
1;42 : mise en forme grasse avec une couleur de fond verte intensité normale
m    : fin d'une séquence ANSI
\]   : fin d’une séquence de caractères non imprimables
\u   : nom d'utilisateur courant
@    : signe @
\H   : nom de la machine complète
\[   : début d'une séquence de caractères non imprimables
\e[  : début d'une séquence ANSI
0;40 : mise en forme normale avec une couleur de fond noir intensité normale
m    : fin d'une séquence ANSI
\]   : fin d’une séquence de caractères non imprimables
:    : signe :
\w   : chemin complet du répertoire de travail courant
\$   : caractère # si l'utilisateur est root sinon caractère $

Pour tester vos créations (ici un fond rouge qui peut être pratique pour l'utilisateur « root »), il vous suffira de taper dans un shell :

user@gnusquad:~$ PS1='\[\e[1;41m\]\u@\H\[\e[0;40m\]:\w\$'
user@gnusquad:~$

Une fois satisfait de votre « PS1 », vous n'aurez plus qu'à le mettre dans le fichier « /etc/bash.bashrc » (pour tous les utilisateurs) ou dans votre fichier « ~/.bashrc » (pour vous uniquement).

Notez au passage qu'il existe aussi trois autres variables d'environnement « PS2 », « PS3 » et « PS4 » que je vous laisse découvrir dans le man de bash !

N'hésitez pas à proposer vos « prompt » en commentaires !

Sources :

• Man page de Bash
• Séquence d'échappement
• Man page de la fonction strftime
• Séquences d'échappement ANSI

Concernant le site en lui même, celui-ci est plutôt bien fichu : il est « classe » (admirez, entre autre, l'effet de zoom lors d'un clic sur une miniature ) , sans fioritures, dispose d'un moteur de recherche, bref, c'est que du bonheur ! Rien de tel également pour découvrir de nouvelles applications intéressantes sans se fouler !

Les captures d'écrans sont envoyées par les utilisateurs en respectant certaines règles, celles-ci sont alors soumises à vérification et sont automatiquement publiées sous les mêmes termes de licence que le paquet Debian du logiciel.

Sources :

• Debian Screenshots
  
• Règles à respecter pour l'envoi de captures d'écrans

Voici le contenu typique de ce fichier :

# Kernel image management overrides
# See kernel-img.conf(5) for details
do_symlinks = yes
relative_links = yes
do_bootloader = yes
do_bootfloppy = no
do_initrd = yes
link_in_boot = no
postinst_hook = update-grub
postrm_hook = update-grub

La variable qui nous intéresse est postinst_hook, elle contient le programme à lancer après l'installation du noyau. À celui-ci est passé deux paramètres : en premier la version du noyau et en second le chemin vers le noyau lui-même. Par défaut, update-grub est lancé permettant la mise à jour du menu de démarrage (« /boot/grub/menu.lst »).

Prenons pour l'exemple, la compilation du module propriétaire Nvidia.

Il nous faut donc créer un script effectuant la mise à jour de GRUB ainsi que cette compilation grâce à « module-assistant ». En théorie, ce n'est pas plus compliqué que ça, mais en pratique, on se rend compte que ça ne fonctionne pas, tout simplement parce que « module-assistant » a besoin d'installer des paquets et qu'une instance de « dpkg » est déjà en route pour l'installation du noyau… Une solution est donc de créer un script qui s'exécutera ultérieurement, j'ai choisi de créer un service qui sera lancé dès que la machine changera de niveau d'exécution (ce qu'on appelle le « runlevel »).

Voici le script, à adapter à vos besoins, qui générera le service :

root@gnusquad:~# vi /usr/local/sbin/postinst_kernel.sh

#!/bin/sh

FILE=/etc/init.d/update-kernel

# Compilation du module Nvidia pour la version $1 du noyau
echo "m-a a-i nvidia -l $1" >> $FILE

# Mise à jour de grub
echo "update-grub $@" >> $FILE

# Suppression du script une fois son travail terminé
echo "update-rc.d -f update-kernel remove" >> $FILE
echo "rm $FILE" >> $FILE

# Ajout des permissions d'exécution sur le script
chmod +x $FILE

# Ajout du script dans les différents runlevel
update-rc.d update-kernel defaults

Rendons le exécutable :

root@gnusquad:~# chmod +x $_

Et mettons à jour la variable « postinst_hook » du fichier de configuration :

root@gnusquad:~# vi /etc/kernel-img.conf

# See kernel-img.conf(5) for details
do_symlinks = yes
relative_links = yes
do_bootloader = yes
do_bootfloppy = no
do_initrd = yes
link_in_boot = no
postinst_hook = /usr/local/sbin/postinst_kernel.sh
postrm_hook = update-grub

Désormais, à l'installation d'un nouveau noyau, ce script sera lancé, celui-ci générera le fichier « /etc/init.d/update-kernel » qui sera, pour sa part, exécuté lors du prochain changement de niveau d'exécution (généralement lors du redémarrage ou de l'arrêt de la machine). Pensez à vérifier « tty7 » (CTRL-ALT-F7) si vous étiez sous « X » histoire de voir la compilation s'effectuer au cas où …

Voilà, c'était pas plus dur que ça grâce à Debian !
Pour information, d'autres hooks sont disponibles (postrm, preinst, prerm, …), il ne vous reste plus qu'à en faire bon usage !

Source :

• Man kernel-img.conf
• Man init
• Wikipédia : Run level

Une attention toute particulière leur a été porté afin d'en faire des Live CD 100% Debian sans modifier plus que de raison les paquets installés afin d'éviter une n-ième distribution basée sur Debian mais patchée dans tous les sens.

Une tripotée d'images sont actuellement disponibles (iso-cd, net, usb-hdd, web) proposant soit Gnome, KDE, XFCE ou encore aucun environnement graphique, le tout pour les architectures i386 et AMD64.

Au menu de la prochaine fournée (beta 2) qui arrivera d'ici deux semaines, nous aurons le droit principalement à un DVD regroupant les différents environnements graphiques que l'on pourra choisir au démarrage ainsi qu'au support des architectures PowerPC et SPARC.

Sources :

• Debian Live Lenny Beta 1
• Roadmap Debian Live
• Images Debian Live

: % de paquets cassés <= 1%

: % de paquets cassés <= 2%

: % de paquets cassés <= 3%

: % de paquets cassés <= 4%

: % de paquets cassés <= 100%

Sources :

• Debian Weather
• Debian weather is back

~/.macromedia/Flash_Player/#SharedObjects/xxxx/
~/.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys

Vous y trouverez toute une liste de sites internet sur lesquels vous avez surfé et qui ont déposés un « cookie Flash ».
Faisons en sorte de contrôler ces cookies et commençons tout d'abord, par faire table rase de tous ces fichiers :

user@gnusquad:~$ rm -r .macromedia

Redémarrez votre navigateur s'il est lancé et configurons Flash Player afin qu'il arrête d'enregistrer ces cookies sans notre permission. Pour cela, il faut :

• aller sur la page de configuration du plugin présente sur le site d'Adobe
• spécifier la quantité d'espace disque disponible pour les sites à « aucun »
• décocher la case « Stockez les composants Flash courants pour réduire la durée des téléchargements »

Désormais, Flash Player vous demandera l'autorisation d'écrire les cookies mais malheureusement, même si vous lui dites non, celui-ci écrit tout de même quelques informations sur le site dans le deuxième répertoire ! J'ai essayé de ruser un peu en utilisant les droits du système de fichier pour empêcher Flash Player d'écrire dans le deuxième répertoire tout en lui laissant la main sur le premier mais sans succès : ce dernier reste vide à cause de l'échec de l'écriture dans le second répertoire !

Une solution serait de positionner les droits d'écriture sur « ~/.macromedia » uniquement lorsque l'on en a besoin mais c'est super lourd et c'est là que j'ai découvert l'extension Firefox « Objection » qui permet de visualiser le contenu des cookies Flash (techniquement parlant, on utilise le terme de LSO) et de les supprimer :

Voilà, il ne vous reste plus qu'à penser à supprimer ces cookies Flash lorsque vous effacerez vos autres traces.

Trois petites notes pour clôturer ce billet :

• l'équipe de Firefox est au courant du problème et verra ce qu'il est possible de faire
• sachez que les cookies Flash sont partagés par les différents profils de Firefox (« firefox --ProfileManager »)
• notez enfin qu'Adobe Flash Player n'est pas le seul plugin sachant lire du Flash, il y a GNU Gnash (100% libre) qui pour l'instant n'implémente pas toute la "norme" mais le projet, prioritaire aux yeux du projet GNU, avance à grands pas !

Sources :

• Configuration d'Adobe Flash Player
• Extension Firefox : Objection
• BugZilla : block/clear Flash cookies
• Local Shared Object
• GNU Gnash

Logiciels utilisés :

• Subversion 1.4.6 (r28521)
• GNU Bash 3.1.17
• GNU Find 4.4.0
• File 4.24

Voici une petite commande permettant de définir les mime-types des fichiers de l’arborescence dans laquelle nous nous trouvons (vous pouvez retirez la partie « | bash > /dev/null » pour afficher ce qui sera exécuté) :

user@gnusquad:~/projet$ find . -type f ! -regex ".*/\.svn/.*" -exec echo svn propset svn:mime-type \"\$\(file -bi '{}'\)\" {} \; | bash > /dev/null

Il se peut que des messages d'erreurs apparaissent dûs à un non conformisme de Subversion vis à vis de la RFC 1521.

svn: Le type MIME 'text/x-c++ charset=utf-8' ne se termine pas par des caractères alphanumériques

Ce bug a été corrigé dans la révision 30795 de Subversion (tapez svn --version | head -1 pour voir votre révision).

Sources :

• Subversion : Automatic Property Setting
• RFC 1521

• SFTP signifie « Secure File Transfer Program », c'est un programme permettant de transférer des fichiers en utilisant une liaison chiffrée par SSH (Secure SHell) ; attention à ne pas confondre SFTP avec FTPS qui signifie pour sa part « File Transfer Protocol over SSL » !
• chroot est un programme permettant de changer le répertoire racine d'un processus afin que ce dernier n'ai accès qu'à une partie limitée de l'arborescence.
• scponlyc est un shell limité destiné uniquement aux transferts de fichiers dans un chroot.

Le but du jeu est donc de permettre à un utilisateur de transférer des fichiers sur un serveur de manière sécurisée sans qu'il n'obtienne pour autant un shell et sans qu'il lui soit permit de voir l'arborescence du serveur. Nous utiliserons pour l'exemple, la version 4.7 d'OpenSSH livrée avec Debian Testing.

Démarrons par l'installation du paquet scponly :

root@gnusquad:~# aptitude install scponly

Un script permettant de créer un compte utilisateur destiné au SFTP chrooté a été installé dans le répertoire « /usr/share/doc/scponly/setup_chroot/ », exécutons le en utilisant les réponses par défaut aux questions :

root@gnusquad:~# cd /usr/share/doc/scponly/setup_chroot/
root@gnusquad:/usr/share/doc/scponly/setup_chroot# gunzip setup_chroot.sh.gz
root@gnusquad:/usr/share/doc/scponly/setup_chroot# chmod +x setup_chroot.sh
root@gnusquad:/usr/share/doc/scponly/setup_chroot# ./setup_chroot.sh

Next we need to set the home directory for this scponly user.
please note that the user's home directory MUST NOT be writeable
by the scponly user. this is important so that the scponly user
cannot subvert the .ssh configuration parameters.

for this reason, a writeable subdirectory will be created that
the scponly user can write into.

Username to install [scponly]
home directory you wish to set for this user [/home/scponly]
name of the writeable subdirectory [incoming]

creating  /home/scponly/incoming directory for uploading files

Your platform (Linux) does not have a platform specific setup script.
This install script will attempt a best guess.
If you perform customizations, please consider sending me your changes.
Look to the templates in build_extras/arch.
 - joe at sublimation dot org

please set the password for scponly:
Enter new UNIX password:
Retype new UNIX password:
passwd : le mot de passe a été mis à jour avec succès
if you experience a warning with winscp regarding groups, please install
the provided hacked out fake groups program into your chroot, like so:
cp groups /home/scponly/bin/groups

Un compte utilisateur contenant les fichiers nécessaires au chroot a été créé dans « /home/scponly/ », celui-ci est presque complet, il ne lui manque que le fameux « /dev/null » que nous allons créer à la main :

root@gnusquad:/usr/share/doc/scponly/setup_chroot# cd ~scponly
root@gnusquad:/home/scponly# mkdir dev
root@gnusquad:/home/scponly# mknod -m 666 dev/null c 1 3

Dernière étape avant que ça ne fonctionne : pour pouvoir utiliser le programme « scponlyc », il faut que celui-ci soit exécuté avec les droits root ; pour cela, il faut placer le « sticky bit » sur l'exécutable « scponlyc » :

root@gnusquad:/home/scponly# chmod u+s $(which scponlyc)

Il est maintenant temps de tester notre compte chrooté : nous allons créer un fichier et l'envoyer à l'utilisateur « scponly » grâce au répertoire accessible en écriture « incoming » :

root@gnusquad:/home/scponly# cd
root@gnusquad:~#  echo "coucou" > test.txt
root@gnusquad:~#  scp test.txt scponly@localhost:incoming
scponly@localhost's password:
test.txt                                                           100%    7     0.0KB/s   00:00

Vérifions maintenant que le chroot fonctionne bien en utilisant « sftp » :

root@gnusquad:~# sftp scponly@localhost
Connecting to localhost...
scponly@localhost's password:
sftp> ls
bin       dev       etc       incoming  lib       usr
sftp> cd incoming
sftp> ls
test.txt
sftp> quit

Voilà, tout fonctionne correctement ! Notez cependant que toute cette procédure ne sera bientôt plus nécessaire avec les futures releases d'OpenSSH qui inclueront la possibilité de définir des chroot directement dans le fichier de configuration ce qui évitera par la même occasion de devoir mettre à jour son chroot lors de mise à jour de sécurité touchant les fichiers de celui-ci si l'on s'intéresse un tant soit peu à la sécurité !

Source :

• Chroot in OpenSSH

Aujourd'hui, je décide donc d'aller jeter un œil dans les logs sans y trouver de traces d'exécution de mon script alors que ses petits copains dans le répertoire étaient eux, bien exécutés !

Que diable se passe t-il ? Pour le savoir, il faut chercher la manière dont sont lancées ces tâches planifiées. Un petit tour dans le fichier « /etc/crontab » nous montre ceci :

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )

Nous voyons donc que les tâches sont exécutées grâce à la commande « run-parts ». Intéressons-nous au manuel de cette commande : « man run-parts ».

run-parts exécute tous les fichiers exécutables situés dans répertoire, et dont le nom satisfait les contraintes décrites ci-dessous. Les autres fichiers sont ignorés.

Si ni l’option --lsbsysinit ni l’option --regex n’est pas utilisée, alors les noms ne doivent être constitués que de lettres minuscules ou majuscules, de chiffres, de tirets de soulignement (« underscore ») ou de tirets.

Le problème apparaît alors clairement : notre lien symbolique, reprenant le nom du script, contient un point et n'est donc pas exécuté !

Deux solutions s'offrent alors à nous pour résoudre ce problème :

• ajouter l'option « --lsbsysinit » à « run-parts » pour les 4 lignes présentes dans « /etc/crontab »
• renommer le lien symbolique « bonne_bouffe.sh » en « bonne_bouffe »

Personnellement, j'ai choisi la seconde solution afin de coller à la façon de faire de Debian

• les fonctionnalités de pending backup
• le driver MyISAM natif permettant de mixer des backups logiques et physiques
• les fonctionnalités de chiffrement et de compression lors des backups

Nous voilà donc rassurés !

Sources :

• MySQL : un peu moins ou un peu plus libre ?
• MySQL Server is open source even backup extensions
• Présentation : MySQL Online Backup (téléchargement local)