INFO les barques

Installation Hylafax [DEBIAN]

Damien J., Georges Charpenay — 2010-02-12T13:01:17Z

PREAMBULE

Avant toute installation, il faut vérifier si le modem RNIS est bien reconnu par debian.

Par exemple, dans le cas d'un modem usb, la commande :
lsusb doit retourner une valeur comme par exemple
Bus 001 Device 002 : ID 07fa:0846 Draytek

Aussi, à la connection d'un modem usb, la commande
tail /var/log/messages

doit retourner des informations comme par exemple :

Jan 13 12:40:26 pc12-23 kernel: [ 726.204409] HFC-S USB: detected "Bewan Modem RNIS USB" Jan 13 12:40:26 pc12-23 kernel: [ 726.564284] HiSax: Card 1 Protocol EDSS1 Id=hfc_usb0 (0) Jan 13 12:40:26 pc12-23 kernel: [ 726.564351] HiSax: DSS1 Rev. 2.32.2.3 Jan 13 12:40:26 pc12-23 kernel: [ 726.564396] HiSax: 2 channels added Jan 13 12:40:26 pc12-23 kernel: [ 726.564405] HiSax: MAX_WAITING_CALLS added Jan 13 12:40:26 pc12-23 kernel: [ 726.565600] usbcore: registered new interface driver hfc_usb

La meilleure carte rnis que nous avons trouvée pour une distribution linux est une Dialogic DivaBri2-pci référence 306-342. De surcroit, le fournisseur vous produit tous les drivers qui vont bien et qui fonctionnent du premier coup !

INSTALLATION

C'est l'étape la plus facile car il y a seulement une commande à lancer, vive debian !

apt-get install hylafax-server

PARAMETRAGE DU MODEM

lancer la commande faxsetup

... qui nous retourne les questions suivantes :

HylaFAX configuration parameters are: [1] Init script starts faxq: yes [2] Init script starts hfaxd yes [3] Start old protocol: no [4] Start paging protocol: no Are these ok [yes]?

Répondre yes

You do not appear to have any modems configured for use. Modems are configured for use with HylaFAX with the faxaddmodem(8) command. Do you want to run faxaddmodem to configure a modem [yes]?

Il s'agit maintenant de configurer le modem. Répondre yes, bien sûr.

Serial port that modem is connected to [ttyS0]?

Dans le cadre de notre carte Dialogic, les 2 canaux B auront chacun un TTY et vous devrez pour un envoi/réception en simultané configurer 2 modems ! (... en fait les deux sorties de la carte).

Par exemple, notre 1er canal est "bindé" sur le ttyds01 et le second sur le ttyds02, il nous faut alors configurer à l'identique les deux interfaces modem.

Toujours pour notre carte dialogic, pour la première interface, saisir ttyds01, puis validez.

Country code [1]?

répondre 33 (et vive la France !)

Area code [415]?

Pour notre région , répondre 0 (pour information, nous sommes installés dans le département de la Loire - France (42), et nos numéros de téléphone commencent par 04 77..)

Phone number of fax modem [+1.999.555.1212]?

répondre 0477550115
soit le numéro de tel de votre ligne rtc ou numéris. (pour des raisons de confidentialité, le 04 77 55 01 15 est un numéro fictif, merci de ne pas essayer de le composer).

Local identification string (for TSI/CIG) ["NothingSetup"]?

Entrer le nom de votre entreprise, exemple "Société des Joyeux Lutins", puis validez (c'est le nom qui apparaitra sur les faxs distants).

Long distance dialing prefix [1]?

Taper 00

International dialing prefix [011]?

Taper 00

Dial string rules file (relative to /var/spool/hylafax) [etc/dialrules]? Tracing during normal server operation [1]? Tracing during send and receive sessions [11]? Protection mode for received facsimile [0600]? Protection mode for session logs [0600]? Protection mode for ttyS0 [0600]? Rings to wait before answering [1]? Modem speaker volume [off]? Command line arguments to getty program ["-h %l dx_%s"]? Pathname of TSI access control list file (relative to /var/spool/hylafax) [""]? Pathname of Caller-ID access control list file (relative to /var/spool/hylafax) [""]? Tag line font file (relative to /var/spool/hylafax) [etc/lutRS18.pcf]? Tag line format string ["From %%l|%c|Page %%P of %%T"]? Time before purging a stale UUCP lock file (secs) [30]? Hold UUCP lockfile during inbound data calls [Yes]? Hold UUCP lockfile during inbound voice calls [Yes]? Percent good lines to accept during copy quality checking [95]? Max consecutive bad lines to accept during copy quality checking [5]? Max number of pages to accept in a received facsimile [25]? Syslog facility name for ServerTracing messages [daemon]? Set UID to 0 to manipulate CLOCAL [""]? Use available priority job scheduling mechanism [""]?

Pour toutes les lignes ci-dessus, la réponse par défaut a été acceptée par la touche Entrée.

Si vous nous avez bien suivi, vous devriez terminer par ...

The non-default server configuration parameters are: CountryCode: 33 AreaCode: 0 FAXNumber: 0477550115 LongDistancePrefix: 00 InternationalPrefix: 00 DialStringRules: etc/dialrules.europe SessionTracing: 0xFFF RingsBeforeAnswer: 1 SpeakerVolume: quiet GettyArgs: "-h %l dx_%s" LocalIdentifier: "NothingSetup" TagLineFont: etc/lutRS18.pcf TagLineFormat: "De %%l|%c|Page %%P sur %%T" MaxRecvPages: 25 NotifyCmd: bin/notify.php Are these ok [yes]?

Valider par yes, puis entrée.

Now we are going to probe the tty port to figure out the type of modem that is attached. This takes a few seconds, so be patient. Note that if you do not have the modem cabled to the port, or the modem is turned off, this may hang (just go and cable up the modem or turn it on, or whatever). Probing for best speed to talk to modem: Unable to deduce DTE-DCE speed; check that you are using the correct device and/or that your modem is setup properly. If all else fails, try the -s option to lock the speed. Do you want to run faxaddmodem to configure another modem [yes]?

Entrer "yes" pour ajouter le 2ème canal tty (TTYDS02) et répéter exactement la même configuration que précédemment.

Done verifying system setup. Updating /etc/hylafax/setup.cache from /var/spool/hylafax/etc/setup.cache. Updating /etc/hylafax/setup.modem from /var/spool/hylafax/etc/setup.modem. /var/spool/hylafax

Vous remarquerez les fichiers créés que vous pourrez éventuellement modifier ultérieurement manuellement pour un paramètre erroné, sans systématiquement refaire toute la configuration en repassant par l'étape ci-dessus.

A partir de ce moment, vous disposez suffisamment de commandes en ligne pour envoyer des fax .

Pour les découvrir, il suffit de saisir fax, et valider par deux fois avec la touche tabulation, pour que le serveur vous affiche la liste des commandes disponibles :

#fax fax2ps faxalter faxcron faxmail faxquit faxstate fax2tiff faxanswer faxdeluser faxmodem faxrm faxwatch faxabort faxconfig faxgetty faxmsg faxsend faxaddmodem faxcover faxinfo faxq faxsetup faxadduser faxcover.old faxlock faxqclean faxstat

L'étape suivante est de donner les moyens à hylafax d'envoyer les faxs entrant par mail aux destinataires...

Installation de postfix

Pour pouvoir utiliser les notifications par e-mail de chaque fax il nous faut un serveur relais Postfix. Nous profitons de cet aptitude install pour installer certains paquets nécessaires pour utiliser avantfax.

aptitude install postfix metamail sharutils mime-support mailx

Une fois l'installation terminée, il suffit alors d'éditer le fichier /etc/postfix/main.cf pour, dans sa partie smtp_relayhost, renseigner le serveur SMTP.

smtp_relayhost = svrmail.macompagnie.com

Installation de paquets pour la gestion des FAX en PDF

Pour pouvoir recevoir par mail les fax en format PDF ou TIFF il faut installer les modules suivants :

aptitude install imagemagick php5-imagick php-fpdf smarty libtiff-tools libtiff4 libtiff4-dev libungif-bin libungif4-dev netpbm libnetpbm10 libnetpbm10-dev libpng3 libpng12-0 libpng12-dev libgd2-xpm libgd2-xpm-dev zlib-bin sudo mgetty

Installation d'AvantFax

AvantFax est une interface web, conviviale, travaillant de concert avec hylafax, elle permet de voir l'état des faxs entrants et sortants, d'envoyer des faxs, de gérer des groupes d'utilisateurs, etc ...

Si vous désirez l'installer, il faut dans un premier temps récupérer l'archive tar d'AvantFax sur le site officiel ou en exécuter les lignes de commandes suivantes :

cd /usr/local/src wget -c http://kent.dl.sourceforge.net/sourceforge/avantfax/avantfax-3.0.9.tgz tar -zxvf avantfax-avantfax-3.0.9.tgz cd avantfax-3.0.9

L'installation se fait simplement en éxecutant le script "debian-install.sh" par la commande :

sh debian-install.sh

Terminons l'installation par le remplacement des binaires :

cd /var/spool/hylafax/bin/ ln -s /var/www/includes/faxrcvd.php /var/spool/hylafax/bin/ ln -s /var/www/includes/notify.php /var/spool/hylafax/bin/ ln -s /var/www/includes/dynconf.php /var/spool/hylafax/bin mv /usr/bin/faxcover /usr/bin/faxcover.old ln -s /var/www/includes/faxcover.php /usr/bin/faxcover

L'étape suivant passe par la configuration de chaque interface tty (2 tty pour 2 canaux, 4 pour 4 canaux ....) en modifiant les lignes suivantes :

Pour /var/spool/hylafax/etc/config.ttyds01 :

## AvantFAX configuration # FaxrcvdCmd: bin/faxrcvd.php DynamicConfig: bin/dynconf.php UseJobTSI: true

Pour /var/spool/hylafax/etc/config.ttyds02 :

## AvantFAX configuration # FaxrcvdCmd: bin/faxrcvd.php DynamicConfig: bin/dynconf.php UseJobTSI: true

Et enfin pour /var/spool/hylafax/etc/config :

## AvantFAX configuration # NotifyCmd: bin/notify.php

A ce stade, AvantFax est configuré par rapport au matériel, il faut ensuite le faire communiquer avec le logiciel Hylafax.

Configuration d'AvantFax pour son utilisation avec HylaFAX

Modification du fichier /var/www/include/local_config

Pour permettre l'arrivée des fax au format PDF il faut passer la variable $NOTIFY_INCLUDE_PDF du fichier local_config à "true" :

$NOTIFY_INCLUDE_PDF = true;

Côté système, il faut prévoir une purge régulière des fichiers temporaires en ajoutant dans les tâches cron la ligne suivante :

crontab -e

On ouvre le cron, pour y insérer la tâche suivante :

# runs once a day to remove old files 0 0 * * * /var/www/includes/avantfaxcron.php -t 2

Dans le cas où vous avez plusieurs numéros sda derrière une T0, il convient de modifier le fichier /var/spool/etc/hylafax/FaxDispatch en lui indiquant les redirections de fax (pour exemple l'extrait suivant) :

case "$CIDNUMBER" in "0477555657") SENDTO=hotline@macompagnie.com; FILETYPE=pdf;; "0477555658") SENDTO=jean@amacompagnie.com,fax-pierre@macompagnie.com; FILETYPE=pdf;; "0477555659") SENDTO=pierre@macompagnie.com; FILETYPE=pdf;; "*") SENDTO=andre@macompagnie.com; FILETYPE=pdf;; ##4435*) SENDTO=lee; FILETYPE=pdf;; # all faxes from area code 435 ##5059627777) SENDTO=amy; FILETYPE=tif;; # Amy wants faxes in TIFF esac

Dans l'exemple précédent, nous voyons les redirections de fax entrant, sachant que tout fax entrant et n'appartenant pas aux numéros susvisés seront redirigés dans la boite aux lettre d'andré.

Une petite pause café s'impose....!

A ce niveau, nous pouvons envoyer et recevoir automatiquement des faxs, et bénéficions d'une interface web pour la gestion. Mais pourquoi ne pas profiter de cette opportunité d'un service automatisé d'envoi de faxs pour envoyer les faxs directement à partir des pc situés sur un réseau ?

Création d'un utilisateur de FAX pour AvantFAX et sa future imprimante virtuelle

Il faut, dans HylaFAX, créer un utilisateur Apache qui ait les droits de création, réception et lecture de FAX pour le bon fonctionnement d'AvantFAX.

Au chapitre suivant, nous utiliserons ce même utilisateur pour l'envoi de FAX à partir de poste client (pc du réseau).

faxadduser -a UN_MOT_DE_PASSE www-data faxdeluser localhost faxdeluser 127.0.0.1 echo 127.0.0.1 >> /var/spool/hylafax/etc/hosts.hfaxd

(UN_MOT_DE_PASSE est un mot de passe quelconque, pas celui de www-data)

Il faut maintenant ajouter au fichier /etc/sudoers l'utilisateur www-data pour lui autoriser l'accès au spool de fax :

visudo

Ajouter la ligne suivante :

www-data ALL = NOPASSWD: /sbin/reboot, /sbin/halt, /usr/sbin/faxdeluser, /usr/sbin/faxadduser -u * -p * *

Création d'un lien pour les binaires "magic" :

ln -s /usr/share/file/magic* /usr/share/misc/

Envoi de FAX par Imprimante Virtuelle

L'envoi de fax peut se faire soit par l'interface Web ou bien par la solution que nous avons retenue, une imprimante virtuelle sur chaque poste client du réseau.

Nous avons retenu le logiciel "Winprint HylaFAX".

Installation des Drivers Winprint HylaFAX

Il faut d'abord télécharger les drivers windows sur le site suivant.

Sur les postes clients (ou sur un serveur windows), il faut lancer l'installation et ajouter une imprimante par le menu démarrer -> panneau de configuration -> Imprimantes et télécopieurs -> Ajouter une nouvelle imprimante.

Dans l'assistant, il faut sélectionner "Installer une imprimante localement" et décocher "Plug & Play".

Dans la fenêtre suivante il suffit de séléctionner "Créer un nouveau port" et choisir "Winprint Hylafax".

Un Pop-up s'ouvre pour vous permettre de choisir le port HFAX, laissez le par défaut pour éviter tout conflit avec d'autres imprimantes.

Maintenant Windows vous demande de séléctionner le driver de l'imprimante, sélectionnez alors "Apple LaserWrite 12/640 PS".

Donnez ensuite un nom à votre imprimante.

Si vous voulez que l'imprimante soit disponible sur tout votre réseau pour que chaque client puisse en profiter alors partagez-là. (dans le cadre d'un serveur windows, la notion de partage est un petit peu différente)

L'imprimante est maintenant installée il nous reste juste à configurer le port HFAX, pour cela faites un clic droit sur l'imprimante puis propriété et allez dans l'onglet "Ports".

Dans cet onglet, le port HFAX1 doit apparaitre, cliquez sur "Configurer le port" pour obtenir cette fenêtre que vous compléterez en fonction de votre serveur de FAX.

L'utilisateur fax cité est bien entendu un de ceux déclarés sous debian avec la commande faxadduser citée plus haut.

Vous pouvez dès à présent essayer l'envoi d'un fax en imprimant un document sur cette nouvelle imprimante virtuelle.

Dans un document de bureautique, open office, par exemple, il faut choisir l'imprimante virtuelle au moment de la sélection de l'imprimante.

Une nouvelle fenêtre vous demande alors de saisir le numéro de fax du destinataire.

Si tout est bien configuré l'envoi devrait se faire et vous pouvez profiter de votre serveur de FAX tout beau tout neuf.

Lien utile : http://www.howtoforge.com/build-a-hylafax-server-with-avantfax-on-debian-etch

Restrictions d'accès SSH [DEBIAN]

Georges Charpenay — 2010-02-02T08:13:23Z

Interdire l'acces root via SSH

Pour désactiver l'accès root à distance, il faut éditer le fichier sshd_config, comme, par exemple avec la commande suivante :
nano /etc/ssh/sshd_config

Ensuite, il faut modifier le paramètre PermitRootLogin à no.

# Authentication: LoginGraceTime 120 PermitRootLogin no StrictModes yes

Ce réglage n'est destiné qu'à l'accès root distant, par ssh, l'accès root demeure accessible depuis la console.

Restreindre l'accès ssh qu'à certaines adresses ip

Dans le même ordre de notion de sécurité, il faut éditer le fichier /etc/hosts.allow pour éditer les adresses autorisées à utiliser la connection ssh

sshd:192.168.18.32 sshd:192.168.18.35

Dans ce cas, seules les adresses ci-dessus seront autorisées à utiliser le démon ssh.

Synchronisation DEBIAN / Active Directory [DEBIAN]

Georges Charpenay — 2009-05-20T15:25:01Z

Dans une entreprise, il est quelquefois intéressant de ne créer les utilisateurs de tous les systèmes informatiques, quels qu'ils soient, que sur un point d'entrée.

L'idée primaire est que quand on crée un utilisateur sur l'active directory, il soit "répercuté" automatiquement sur les serveurs Debian. A rejoindre l'active directory, nous aurons aussi d'autres avantages en matière de droits divers (partages de fichiers, etc ...).

La procédure décrite dans cet article concerne une configuration Debian qui va rejoindre un contrôleur de domaine windows serveur 2003.

INSTALLATION DES PAQUETS

Vous devez d'abord installer les paquets pour Kerberos, winbind, NTP, et Samba, avec la commande suivante :

sudo apt-get install libkrb53 krb5-config samba winbind ntpdate ntp-server

Vous arriverez automatiquement à l'écran suivant :

A ce niveau, ne précisez rien et validez par entrée. Nous modifierons cela plus tard.

ARRET DES SERVICES

Il faut ensuite arrêter les services suivants, pour les reconfigurer.

sudo /etc/init.d/winbind stop

sudo /etc/init.d/ntp stop

sudo /etc/init.d/samba stop

CONFIGURER KERBEROS

Pour information, cette partie de webmin va modifier le fichier /etc/krb5.conf que vous pourrez aller voir pour juger des résultats.
On suppose dans cet exemple que notre nom de domaine est :
masociete.com.
et que le nom de notre serveur s'appelle : svrwin

Vous remarquerez et ferez attention à respecter les majuscules et minuscules dans cet écran webmin.

CONFIGURER NTP

Il est important, vu qu'on va synchroniser des éléments du serveur Debian à un serveur windows 2003, à ce que les horloges de ces deux serveurs soient strictement identiques. Sinon, ça ne pourra pas fonctionner, configurons donc Debian pour qu'il synchronise son horloge avec le contrôleur de domaine windows.

sudo ntpdate adresse_ip_du_contrôleur_domaine_windows

Le système vous retourne les informations suivantes, comme quoi il est bien calé sur le contrôleur de domaine au niveau horloge.

20 May 14:14:43 ntpdate[9173]: step time server 192.1.168.15 offset -106.361269 sec

(192.168.1.15 étant, toujours pour l'exemple, l'adresse ip de notre contrôleur de domaine).

Pour rendre la connection ntp persistante, il faut ajouter un première ligne aufichier /etc/ntp.conf telle que dans le cadre suivant :

server 192.168.1.15

Quand ce réglage est fait, il faut redémarrer le service ntp avec

sudo /etc/init.d/ntp start

Le système nous retourne un message du genre :

remote refid st t when poll reach delay offset jitter ============================================================================== svr.masociete .LOCL. 1 u 14 64 1 0.125 17.346 0.001 a5.iliad.fr .INIT. 16 u - 64 0 0.000 0.000 0.000 ns2.oredin.net .INIT. 16 u - 64 0 0.000 0.000 0.000 ntp.tuxfamily.n .INIT. 16 u - 64 0 0.000 0.000 0.000 ddbm.europeacon .INIT. 16 u - 64 0 0.000 0.000 0.000

On doit retrouver en premier lieu, le premier serveur de DNS que Debian utilisera et qui doit correspondre à votre contrôleur de domaine.

CONFIGURATION WINBIND

Il s'agit d'un service qu'il faut configurer pour gérer les communications entre les systèmes windows et unix.

Pour celà, plutôt que d'utiliser webmin ou nous devrons certainement triturer plusieurs options pour arriver au résultat escompté, essayons à la main dans le fichier qui va bien, c'est à dire /etc/smb.conf.

nano /etc/samba/smb.conf
et nous allons simplement insérer les lignes suivantes devant la section Global (avant share definitions)

; this setting and smb.conf(5) for all details ; ; winbind enum groups = yes ; winbind enum users = yes # LIGNES A INSERER... realm = masociete.com workgroup = SOCIETE security = ads idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash template homedir = /home/%D/%U winbind use default domain = yes # Fin des lignes à insérer .... #======================= Share Definitions ======================= [homes] comment = Home Directories browseable = no

Commentaires sur les lignes :

realm = ...

Il s'agit du nom de domaine windows 2003

workgroup = ...

Il s'agit du nom de domaine Netbios (en majuscules)

template shell = ...

Il s'agit du shell qu'on donne aux utilisateurs créés automatiquement depuis l'active directory. Pour ces personnes, soit on leur autorise à avoir une invite de commande (compte en mode console ou ssh), auquel cas, il faut indiquer un /bin/bash. Dans le cas contraire, il faut leur affecter /bin/false .

template homedir = ...

Il s'agit ici de savoir si on veut différencier, en observant le répertoire /home du serveur Debian, les utilisateurs créés à partir de l'active directory et ceux crées directement sur le système linux. Ceci est, à mon sens, utile, pour différencier des utilisateurs "système linux" comme pour le stockage d'arrivée d'un service de fax par exemple.

L'idée est alors qu'on puisse voir dans l'arborescence, la structure suivante :

/home/SOCIETE/georges
/home/SOCIETE/damien
/home/SOCIETE/pierre etc......
/home/fax
/home/autre_compte_linux

Dans ce cas :

template homedir = /home/%D/%U

Sinon et si on veut trouver tous les utilisateurs quels qu'ils soient, sous home :

template homedir = /home/%U

Vous l'avez compris : %D est le nom du domaine windows et %U est le nom du compte

Pour faciliter la suite des évènements, je vous recommande vivement de créer un répertoire sous /home/ avec le nom netbios de votre domaine windows (en majuscules) car à la création de l'arborescence de l'utilisateur, linux ne crée que le répertoire final. (celui avec le nom de l'utilisateur).

CONFIGURER NSSWITCH

Linux va d'abord chercher la résolution des comptes dans ses fichiers, et s'il ne trouve pas les comptes, il aura besoin de cet outil pour faire la résolution sur l'active directory.

Ici il faut aller gratter dans le fichier /etc/nsswitch.conf pour modifier les deux instructions suivantes :

passwd : files winbind
group : files winbind

Exemple de résultat :

passwd: files winbind group: files winbind shadow: compat hosts: files dns

Ensuite, il faut appliquer les changements avec la commande suivante :

sudo ldconfig

JOINDRE LE DOMAINE

Avec tout celà, pour êtes parés pour ajouter votre serveur au domaine.

Vérifiez tout de même, avant cette étape, à ce que votre nom de machine linux ne dépasse pas 15 caractères, sinon vous aurez le message d'erreur STATUS_BUFFER_OVERFLOW.

Cependant, avant de rejoindre le domaine, il est très important de vider le cache de winbind et le sauvegarder dans un répertoire de secours.

mkdir /var/lib/samba.bak/
mv /var/lib/samba/* /var/lib/samba.bak/

Nous pouvons maintenant, lancer la commande suivante :

sudo net ads join -U "Administrateur"

Administrateur étant bien évidemment le compte administrateur du domaine windows.

DEMARRER LES SERVICES

sudo /etc/init.d/samba start
sudo /etc/init.d/winbind start

VERIFIER LES RESOLUTIONS DE NOMS

Il y a deux commandes à invoquer pour résoudre les noms et les groupes des utilisateurs de l'active directory :

wbinfo -u

wb info -g

Le système va vous retourner alors les utilisateurs et les groups qu'il détecte sur l'active directory

CONFIGURER PAM

Enfin, il faut un module pour dire à Linux que l'authentification des utilisateurs sont sur un annuaire windows et dans quel ordre et quelles librairies il doit utiliser pour l'authentification, bref, quelques fichiers à modifier :

nano /etc/pam.d/common-account

avec les instructions suivantes :

account	sufficient	pam_winbind.so account	required	pam_unix.so

nano /etc/pam.d/common-auth

avec les instructions suivantes :

auth	sufficient	pam_winbind.so auth	required	pam_unix.so use_first_pass

nano /etc/pam.d/common-session

avec les instructions suivantes :

session	sufficient	pam_winbind.so session required	pam_unix.so

nano /etc/pam.d/common-session

avec les instructions suivantes :

session	required	pam_mkhomedir.so skel=/etc/skel/ umask=0022 session	sufficient	pam_winbind.so session required	pam_unix.so

Ensuite, vous pouvez enfin tester le tout en vous connectant en ssh ou sur la console avec le login/mot de passe d'un utilisateur windows, et le système doit l'accepter et lui créer, la première fois, un répertoire avec son nom d'utilisateur sous /home/MASOCIETE/nom_utilisateur.

Sauvegarde d'un serveur linux entier - Mondo rescue [DEBIAN]

Georges Charpenay — 2009-05-20T09:48:52Z

DESCRIPTION ET USAGE DE MONDO

Mondo Rescue est un logiciel, sous Debian, qui vous crée une image complète de votre système linux, en “.iso”.

Cette image pourra ensuite être gravée sur un CD ou un DVD amorçable pour permettre la réinstallation complète du système dans l'état de la sauvegarde.

Avec Mondo rescue, vous pouvez également faire vos images sur des média divers tels qu'un disque dur externe, un média vierge dans un graveur, un partage de dossier Windows ou un lecteur de Bandes.

C'est pour cette raison que nous allons utiliser ce genre d'outil.

Sur le principe, il suffit de faire redémarrer le serveur sur le cd ou le dvd de sauvegarde mondo pour avoir tout ce qu'il faut pour restaurer le serveur en entier strictement à l'identique de l'image.

Mondo supporte très bien le RAID ainsi que le LVM (gestionnaire de volumes logiques). Il permet, en cas de gros pépin sur le serveur, (panne d'un disque dur par exemple) de restaurer une image du système complète depuis un dossier partagé sur un pc Windows ou encore sur un CD/DVD .

Information : Pour les récalcitrants à l'utilisation de webmin (je pense qu'il ne sont pas très nombreux..), il est toujours possible de lancer mondorescue à partir de la console pour arriver sur l'écran suivant.

MONDO RESCUE Installation

Introduction

Pour cette démonstration, on va partir du principe qu'on va créer, sur un pc windows, un dossier partagé.

Ce volume partagé sera monté dans le serveur linux à sauvegarder sous un répertoire nommé /sauvegarde, à la racine de ce dernier.

Il accueillera les images .iso qu'on va effectuer avec l'aide de mondo rescue. Il est bien évident que nous pourrons ultérieurement restaurer ce serveur linux à partir de ce lien réseau windows (point de montage), ou à partir d'une image iso que nous aurons préalablement gravée sur un cd ou un dvd, depuis le dossier partagé.

Enfin, on peut imaginer que ce dossier partagé sur le réseau (point de montage linux), ne soit pas un dossier windows, mais un petit serveur NAS.

Préparation de l'installation

Nous allons d'abord monter un lecteur partagé à partir d'une machine Windows NT dans le dossier/sauvegarde/.

Créons un dossier sur ce pc windows NT (la procédure est identique avec 2000 ou XP), et partageons le (ne pas oublier d'autoriser tout le monde en lecture écriture, pour tester - cette autorisation pourra bien évidemment être restreinte plus tard, pour des raisons de sécurité,à un unique utilisateur - compte linux ou active directory).

Après montage, ce dossier /sauvegarde, pointera en fait sur un dossier partagé d'un PC windows. (pour l'exemple, un serveur windows nt nommé Svr-2)

Côté linux, allons y :

Pour pouvoir parcourir le dossier partagé windows, linux doit utiliser le système de lecture adéquat, pour cela il faut installer le système de fichier smbfs.

En console, lancer la commande :

apt-get install smbfs

Montons ensuite le dossier windows partagé, par webmin, sur l'arborescence linux :

Notons que le compte administrateur et son mot de passe concerne l'administrateur de la machine windows. Il faut un compte d'administration de la machine windows, linux proposant "administrator" par défaut.

L'étape suivante consiste en l'installation de l'outil de sauvegarde Mondo Rescue.

Pour cela, sur Debian, il existe le paquet qui va bien. Donc, sur la console...

aptitude install mondo

Notre outil de sauvegarde est ainsi opérationnel pour faire une image à l'identique du serveur et peut être lancé automatiquement à des périodicités déterminées (semaine, jour, ...)

MONDO RESCUE - Utilisation

Planification de la sauvegarde du système :

Pour planifier la sauvegarde, utilisons à nouveau Webmin, qui nous facilitera l'ajout d'une tâche planifiée.

Rendez-vous dans Système -> Tâches CRON

Cliquez ensuite sur le lien “Créer une nouvelle tâche cron programmée” qui nous amènera sur cette page à compléter par les infos qui correspondent à votre configuration :

Il faut donc exécuter, par exemple, la commande suivante en tant que root :

mondoarchive -Oi -d /sauvegarde/save-mondo/

Description de la commande :

– O pour une opération de sauvegarde
ce paramètre, complété de "i" demande à Mondo de sauvegarder sur des images au format ISO (cd/dvd), il se présentera donc sous la forme -Oi

– d /sauvegarde/save-mondo/ : Save-mondo est le répertoire choisi pour la destination de l'image iso de la sauvegarde

On peut accompagner cette commande de sauvegarde d'autres paramètres parfois très utiles :

– E /sauvegarde/ : Répertoire(s) exclu de la sauvegarde de l'image (ici j'exclue /sauvegarde/ pour éviter que la sauvegarde du moment ne comprennent la ou les sauvegardes iso précédentes car elles sont situées dans un volume de destination (pc windows) qui correspond à un volume monté au moment de la sauvegarde.

– s 4200m : Taille maximum d'un fichier iso pour l'image (pour pouvoir le rentrer sur des DVD simple-couche.Mondo coupera automatiquement le fichier sauvegarde pour nous créer un 2e fichier iso, puis un troisième si nécessaire.

N pour exclure tous les lecteurs montés (seulement le disque dur de la machine à sauvegarder avec mondo.)

Pour donner un exemple que j'utilise, la commande

mondoarchive -Oi -d /sauv-mondo/mensuelle/ -N -E "\"/home/ /var/ /mnt/ /media/\"" -s 4200m -p srvlamp

me permet de sauvegarder mon serveur, sur un lecteur monté (/sauv-mondo/mensuelle), avec des images de format dvd, portant le nom de préfixe srvlamp, en ne prenant pas les lecteurs montés, ainsi que les répertoires /var et /home et /media de mon serveur. Le volume monté est un volume partagé sur un serveur NAS distant situé dans un autre bâtiment.

Si vous lancez cette commande en ligne plutôt que depuis webmin, vous verrez probablement le message illustré ci-dessous et disant qu'il n'a pas pu graver le dvd, il faut alors répondre "no", pour ne pas graver, et "no" à nouveau pour continuer la sauvegarde. Cela aura alors pour effet de créer un premier fichier ISO sur votre destination.

Attention, si le répertoire de destination est un lecteur monté (par exemple un dossier partagé d'un nas), il convient, pour accéder aux images depuis windows, d'exécuter par ex un chmod 777 sur les fichiers *.iso du dossier de destination. Sinon, on ne voit pas les fichiers iso... pour les graver depuis windows.

---evalcall---1--- Running mkisofs to make ISO #1 ---evalcall---2--- TASK: [**********..........] 47% done; 6:29 to go ---evalcall---E--- Call to mkisofs to make ISO (ISO #1) ...failed ---promptdialogYN---1--- Failed to burn ISO #1. Retry? ---promptdialogYN---Q--- [yes] [no] --- --> no ---promptdialogYN---1--- Abort the backup? ---promptdialogYN---Q--- [yes] [no] --- --> no

A la fin, vous devriez arriver sur quelque chose comme celà :

---promptdialogYN---1--- Failed to burn ISO #2. Retry? ---promptdialogYN---Q--- [yes] [no] --- --> no ---promptdialogYN---1--- Abort the backup? ---promptdialogYN---Q--- [yes] [no] --- --> no Done. Done. Writing boot+data floppy images to disk No Imgs ---promptpopup---1--- Boot+data floppy creation failed. However, FYI, you may burn /root/images/mindi/mondorescue.iso to a CD and boot from that instead if you wish. ---promptpopup---Q--- [OK] ---

Il vous est possible, bien sûr, avec le cron de webmin, de planifier les sauvegardes à dates régulière. Pour l'exemple, nous avons lancé une sauvegarde unique.

Par contre, je recommande de d'abord tester la commande de sauvegarde en ligne de commande, puis de vérifier les images iso générées dans votre volume de sauvegarde, avant de le mettre en tâche cron. Vous serez ainsi rassurés sur la validité de la commande, et aurez au moins un jeu pour une restauration éventuelle.

MONDO RESCUE - Restauration

Pour restaurer une image antérieure sauvegardée par mondo, il vous suffit de graver le fichier .iso de votre répertoire de sauvegarde, puis l'insérer dans votre serveur à restaurer. Le démarrage sur le CD est automatique et vous arriverez sur une console où il vous suffira de lancer le menu de restauration que vous choisirez.

Utilisation et configuration SUDO [DEBIAN]

Georges Charpenay — 2009-05-14T12:56:37Z

A l'installation de Debian, il est possible de ne pas autoriser les connexions root. Ainsi, la sécurité est accrue et les manipulations de niveau root sont possibles avec un accès console ou ssh utilisateur lamba, et en précédant la ou les commandes du préfixe sudo .

Exemple de commande pour l'utilisateur avec le login "georges" (car root n'est pas autorisé à accéder à la console.)

sudo apt-get update

Par contre, il est naturel que tous les utilisateurs n'aient pas accès aux commandes de root (par l'intermédiaire de la commande "sudo").

Le fichier suivant contient les utilisateurs pouvant utiliser la commande sudo : /etc/sudoers

Examinons ce que contient au minimum ce fichier

# /etc/sudoers # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # Defaults env_reset # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL georges ALL=(ALL) ALL

Explication de la syntaxe :

utilisateur SERVEUR=(UTILISATEURS) COMMANDES
georges ALL=(ALL) ALL

... georges a tous les droits :
– sur le serveur,
– sur les utilisateurs, (ex ajouter, modifier ...)
– sur les commandes, (ex toutes les commandes linux)

!ATTENTION ! Il faut toujours laisser au moins un utilisateur en plus de root, dans ce fichier, sinon c'est la catastrophe et vous ne pourrez plus faire grand chose sur le serveur. (plus de droits root).

Journal de l'utilisation de sudo

Il est possible de voir les commandes exécutés par tous les utilisateurs de sudo, pour cela, et pour chaque utilisateur autorisé à utiliser la commande sudo, le système journalise les traces dans /var/run/sudo/nom_utilisateur/

Le dossier contient les traces de l'utilisateur avec sudo.

Adresse ip statique & route par défaut [DEBIAN]

Georges Charpenay — 2008-12-18T21:03:55Z

Changer l'adresse ip par défaut

Pour que le serveur prenne une adresse ip statique par défaut, il faut éditer et compléter le fichier /etc/network/interfaces qui contient tous les paramètres usuels (y compris l'IP de la passerelle)

Par exemple :

iface eth0 inet static address 192.168.1.12 netmask 255.255.255.0 network 192.168.1.0 gateway 192.168.1.1

Changer la route par défaut

Routage des paquets IP

La commande route affiche la table de routage qui contient l'information sur la façon d'envoyer les paquets IP vers leur destination

route Table de routage IP du noyau Destination Gateway Genmask Flags Metric Ref Use Iface localnet * 255.255.255.0 U 0 0 0 lo default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

1ère ligne : le trafic destiné aux machines du réseau local sera routé par eth0.
2ème ligne : le trafic destiné à l'Internet routé par la passerelle 192.168.1.1

Pour supprimer la route par défaut actuelle

route del default

Pour fixer une (nouvelle) passerelle :

route add default gateway 192.168.1.1

accès de nouveau à internet

Rendre une route persistante

Pour rendre une route persistante

Il faut modifier à nouveau le fichier /etc/network/interfaces

nano /etc/network/interfaces

Et entrer une route de ce genre :

# Nouvelle route statique up route add -net 192.168.1.0/24 gw 192.168.15.1 dev eth0

Grossièrement parlant, tout ce qui vient du réseau 192.168.1.0 doit repartir par la passerelle 192.168.15.1, sur la carte réseau eth0...

(on crée une route pour l'accès internet du réseau local)

Pour que le routage entre les interfaces eth0 et eth1 deviennent effectif, il faut modifier le fichier /etc/sysctl.conf en y ajoutant le paramètre :

net/ipv4/ip_forward=1

Installation proftpd [DEBIAN]

Georges Charpenay — 2008-06-07T18:29:36Z

Utilitaire de copie de fichiers à distance.

- Opérations diverses de maintenance et configuration / DEBIAN, LINUX, FTP

Installation webmin [DEBIAN]

Georges Charpenay — 2008-06-07T09:12:40Z

Webmin, pour administrer graphiquement et éviter pas mal de commandes en ligne.

- Opérations diverses de maintenance et configuration / DEBIAN, LINUX, WEBMIN

Installation SSH woody [DEBIAN]

Georges Charpenay — 2008-06-07T08:18:41Z

ATTENTION, s'agissant de sécurité au plus haut niveau, avant d'installer une version de ssh, il convient de vérifier si elle est toujours d'actualité.

Ceci peut se vérifier sur le site de DEBIAN

En fait, le lien ci-dessus fait apparaître les trois versions d'actualité de Debian. Actuellement, il y a les versions :

– etch (stable)
– lenny (prochaine version, en test)
– sid (ancienne version, considérée à présent comme plus stable).

Pour information, les versions précédentes étaient Sarge, et woody, archivées et qui ne sont plus exploitées. Ici, nous voyons que la version woody (décrite ci-dessous), est dépassée. Donc, pour une exploitation professionnelle, cette version de ssh est fortement déconseillée, mais peut être utilisée pour des tests personnels ou à titre éducatif.

A cette date, l'article de ce site évoquant l'installation de la dernière version est la suivante : LAMP : 4ème Etape - SSH, VPN [DEBIAN]

D'un point de vue général, je vous conseille fortement de procéder aux vérifications de versions de Debian ci-dessus. Si vous doutez de la version de ssh que vous allez installer, pensez à lancer la commande aptitude search ssh, auquel cas, vous aurez au moins la version stable en cours.

INSTALLATION SSH WOODY

le site de référence sur lesquelles j'ai pris les informations suivante :
installation ssh debian

Debian désactive par défaut l'accès par ssh.

Il faudra donc le configurer pour ouvrir cet accès distant.

Il faut ajouter la ligne :
deb http://pandora.debian.org/debian-non-us woody non-US/main non-US/non-free non-US/contrib
au fichier /etc/apt/sources.list/

Puis lancer ensuite apt-get install ssh

Il faut ensuite éditer /etc/ssh/ssh_config
et modifier les deux lignes suivantes pour obtenir
Host *
ForwardAgent yes
ForwardX11 yes

On peut ensuite se connecter en ssh depuis un poste client (putty par ex)

(cependant, pour éviter que la commande "aptitude" ait de la difficulté à résoudre http://pandora.debian.org/debian-non-us woody non-US/main non-US/non-free non-US/contrib, on peut ensuite éliminer cette ligne dans etc/apt/sources.list)

Commandes diverses Linux [DEBIAN]

Damien J. — 2008-03-17T15:02:41Z

Commande	Détails
tar xvzf	Extraire une archive en .tar.gz ou .tgz
tar xvf	Extraire une archive en .bz ou .gzip

Paquets

Commande	Détails
aptitude search *	(Debian) Recherche de paquet par rapport au métacaractère
aptitude install *	(Debian) Installation de paquet par rapport au métacaractère
aptitude remove *	(Debian) Suppression de paquet par rapport au métacaractère

Fichiers

Commande	Détails
cp * /destination/	Copie un fichier
cp -R * /destination/	Copie un dossier et ses sous-répertoires
mv * /destination/	Déplace un fichier ou répertoire sans écraser
rm *	Supprime un fichier
rm -R *	Supprime un dossier avec ses sous-dossiers
ls -l	Affiche le contenu du répertoire ainsi que les droits
pwd	Affiche le chemin où on se trouve
updatedb	Mise à jour de la base de donnée contenant les fichiers présent sur la machine
locate *	Permet de savoir où se trouve un fichier sur la machine
find -r "nom_fichier" /	Permet de savoir où se trouve un fichier sur la machine à partir de la racine

Système (Debian)

Commande	Détails
adduser *	Permet d'ajouter un utilisateur en passant par le script Debian
addgroup *	Permet d'ajouter un groupe en passant par le script Debian
deluser *	Permet d'effacer un utilisateur en passant par le script Debian
delgroup *	Permet d'effacer un groupe en passant par le script Debian

Services (Debian)

Commande	Détails
ifdown eth0	arrête l'interface eth0
ifup eth0	lance l'interface eth0

La commande chmod

Pour changer les droits d'un répertoire ou d'un fichier, il faut d'abord distinguer que les droits sont divisés en trois sous-parties (user-group-other) - ex : rwxrwxr— . Dans ces sous-parties, les droits sont r ->read w->write x->execute.

Deux méthodes : (les + et les -, les chiffres)

Les + et les - :

Pour supprimer par exemple, les droits d'écriture au groupe sur l'exemple ci-dessus (rwxrwxr—), il faut taper la commande chmod -w grp

Par les chiffres :

Pour supprimer par exemple, les droits d'écriture au groupe sur l'exemple ci-dessus (rwxrwxr—). chmod 754 fichier.
Les points sont attribués de la façon suivante : 4 = read, 2 = write, 1 = execute, on additionne et on obtient des résultats comme ci-dessus.

INFO les barques

Installation Hylafax [DEBIAN]

PREAMBULE

INSTALLATION

PARAMETRAGE DU MODEM

Installation de postfix

Installation de paquets pour la gestion des FAX en PDF

Installation d'AvantFax

Configuration d'AvantFax pour son utilisation avec HylaFAX

Création d'un utilisateur de FAX pour AvantFAX et sa future imprimante virtuelle

Envoi de FAX par Imprimante Virtuelle

Restrictions d'accès SSH [DEBIAN]

Interdire l'acces root via SSH

Restreindre l'accès ssh qu'à certaines adresses ip

Synchronisation DEBIAN / Active Directory [DEBIAN]

INSTALLATION DES PAQUETS

ARRET DES SERVICES

CONFIGURER KERBEROS

CONFIGURER NTP

CONFIGURATION WINBIND

CONFIGURER NSSWITCH

JOINDRE LE DOMAINE

DEMARRER LES SERVICES

VERIFIER LES RESOLUTIONS DE NOMS

CONFIGURER PAM

Sauvegarde d'un serveur linux entier - Mondo rescue [DEBIAN]

DESCRIPTION ET USAGE DE MONDO

MONDO RESCUE Installation

MONDO RESCUE - Utilisation

MONDO RESCUE - Restauration

Utilisation et configuration SUDO [DEBIAN]

Journal de l'utilisation de sudo

Adresse ip statique & route par défaut [DEBIAN]

Changer l'adresse ip par défaut

Changer la route par défaut

Rendre une route persistante

Installation proftpd [DEBIAN]

Installation webmin [DEBIAN]

Installation SSH woody [DEBIAN]

INSTALLATION SSH WOODY

Commandes diverses Linux [DEBIAN]

Archives

Paquets

Fichiers

Système (Debian)

Services (Debian)

La commande chmod