Tout d’abords quelque préparations : il vous faudra openssh-server en version supérieur ou égale à 4.8p1 car l’option du fichier de configuration de sshd n’est pas présente avant cette version. Pour Ubuntu ou Debian cette version est présente depuis au moins le troisième trimestre 2008.

Donc on installe openssh-server :

sudo aptitude install openssh-server openssh-client

Rq : On installe ici aussi le client afin de faire des test en local.

Ensuite configurons sshd :

sudo nano /etc/ssh/sshd_config

tout en bas du fichier (et j’ai bien dit tout en bas) ajouter ces quelques lignes :

Match Group chrootssh
ChrootDirectory %h
AllowTcpForwarding no

Expliquons un peu ces lignes :

• Match Group chrootssh : on va dire ici que le groupe chrootssh va être configuré avec les règles supplémentaires suivantes.
• ChrootDirectory %h : Tous les utilisateurs faisant partie du groupe chrootssh seront chrooté dans leur home : ici et comme dans la configuration de samba %h signifie le dossier de l’utilisateur. Ainsi vous pouvez mettre par exemple /var/www/%u si vous voulez que vos utilisateurs soit chrooté dans un dossier portant leur nom dans /var/www
• AllowTcpForwarding no : on désactive tous ce qui est tunnel ssh, on veux pas que notre serveur serve de proxy socks ou autre au client qui se connecte.

Pour plus de renseignement sur la configuration de sshd_config reportez vous au man sshd_config ou bien à cette page du manuel d’openssh

On y est, normalement le fichier de configuration est lu à chaque connexion d’un user donc pas besoin de reload le service ssh, mais si vous voulez en être sûre :

sudo invoke-rc.d ssh reload

Rq : même si vous stoppé le service vos connexions en cours seront toujours « Alive » jusqu’à ce que vous quittiez vos sessions bien sûr.

Ensuite passons aux choses sérieuses, la configuration d’un compte utilisateur Chrooté :

#On créé le groupe chrootssh
sudo addgroup chrootssh
#on rajoute l'utilisateur
sudo adduser monuserchrootssh
#on ajoute le user au groupe chrootssh
sudo adduser monuserchrootssh chrootssh

Nous allons maintenant créé sont environnement en utilisant un petit script un poil modifié par mes soins mais qui vient tout droit du paquet libpam-chroot :

#!/bin/bash

# Here specify the apps you want into the enviroment
APPS="/usr/bin/env /usr/bin/wget /usr/bin/clear /usr/bin/ftp /usr/bin/traceroute /usr/bin/host /bin/sh /bin/grep /bin/cat /usr/bin/vi /bin/gzip /bin/gunzip /usr/bin/less /usr/bin/tail /usr/bin/nslookup /usr/bin/resolveip /bin/bash /bin/ls /bin/mkdir /bin/mv /bin/pwd /bin/rm /usr/bin/id /usr/bin/ssh /bin/ping /usr/bin/dircolors /usr/bin/screen /bin/ps /bin/uname /bin/sed"
USER_HOME="/home/$1"

# Sanity check
if [ -z "$1" ]; then
echo "    Usage: $0 username"
exit
fi

# Obtain username and HomeDir
CHROOT_USERNAME=$1
HOMEDIR=`grep /etc/passwd -e "^$CHROOT_USERNAME:"  | cut -d':' -f 6`
cd $HOMEDIR

mkdir etc bin lib usr usr/bin dev
# We need as many tty's as consoles
/bin/mknod -m 666 dev/tty  c 5 0
/bin/mknod -m 644 dev/tty1 c 4 1
/bin/mknod -m 644 dev/tty2 c 4 2
/bin/mknod -m 644 dev/tty3 c 4 3
/bin/mknod -m 644 dev/tty4 c 4 4
/bin/mknod -m 644 dev/tty5 c 4 5
/bin/mknod -m 644 dev/tty6 c 4 6
#and pts
mkdir dev/pts
/bin/mknod -m 666 dev/pts/0  c 136 0
/bin/mknod -m 666 dev/pts/1  c 136 1
# Some special nodes, just for fun
/bin/mknod -m 444 dev/urandom c 1 9
/bin/mknod -m 666 dev/zero c 1 5
/bin/mknod -m 666 dev/null c 1 3

# Create short version to /usr/bin/groups
# On some system it requires /bin/sh, generally unnessesary in a chroot cage

echo "#!/bin/bash" > usr/bin/groups
echo "id -Gn" >> usr/bin/groups

# Add some users to ./etc/paswd
grep /etc/passwd -e "^root:" -e "^$CHROOT_USERNAME:" > etc/passwd
grep /etc/group -e "^root" -e "^$CHROOT_USERNAME:" > etc/group

#Settings prompt
cp /etc/profile etc/profile
cp -R /etc/bash* etc
echo "export HOME=/" >> etc/profile

for prog in $APPS;  do
    cp $prog ./$prog
    # obtain a list of related libraries
    ldd $prog > /dev/null
    if [ "$?" = 0 ] ; then
    LIBS=`ldd $prog`
    for l in $LIBS; do
        if [ -f $l ]; then
            mkdir -p .`dirname $l` > /dev/null 2>&1
            cp $l ./$l
        fi
    done
    fi
done

# For strange reason, these 3 libraries are not in the ldd output, but without
# them some stuff will not work, like usr/bin/groups
cp /lib/libnss_compat.so.2 /lib/libnsl.so.1 /lib/libnss_files.so.2 /lib/ld-linux.so.2 /lib/libresolv.so.2 /lib/libnss_dns.so.2 ./lib/
chmod 755 usr/bin/groups

cp /etc/host.conf ./etc/
cp /etc/hosts ./etc/
cp /etc/nsswitch.conf ./etc/
cp /etc/localtime ./etc/
cp /etc/resolv.conf ./etc/
cp /etc/services ./etc/
cp /etc/protocols ./etc/
mkdir ./etc/terminfo/
cp -R /etc/terminfo/* ./etc/terminfo/

find . -type d -exec chown -R root:root {} \;

Si vous êtes sous architecture 64 bits une erreur peut apparaitre :
cp: cannot stat `/lib/ld-linux.so.2′: No such file or directory
Copier donc votre librairie :

mkdir /home/monuserchrootssh/lib64
cp /lib64/ld-linux-x86-64.so.2 /home/monuserchrootssh/lib64

Elle est nécessaire pour faire fonctionner bash par exemple

Ligne 4 de ce fichier listez tous les exécutables que vous voulez donné à votre utilisateur, ici j’ai listez les plus courant dans une liste riquiqui.

Petit bémol mais peut être que quelqu’un pourra le résoudre : screen ne retrouve pas ses petits et ne peux pas démarré dans cette environnement, mais il semblerait qu’un mount –bind bien placé pour tous ce qui « pts » résoudrait l’affaire : a creuser donc…

il ne nous reste plus qu’à exécuter notre petit script. Donc vous avez bien sûre fait un :

cd
nano createchroot.sh
#on colle le contenu dans ce fichier
chmod +x ./createchroot.sh

Enfin nous créons l’envirronnement à l’aide de ce script :

sudo ./createchroot.sh monuserchrootssh

Si vous avez quelques erreurs disant que le programme n’existe pas c’est surement que l’un des exécutables donné dans la variable $APPS ligne 4 n’est pas installé, et que donc vous n’en avez pas besoin.

Si vous voulez controler que tout marche pour le mieux éxécuter sshd en mode devel :

sudo invoke-rc.d ssh stop
sudo /usr/sbin/sshd -d
#ctrl+c pour quitter

Voilà on y est loggé l’utilisateur pour faire un test :

ssh monuserchrootssh@localhost

Si vous avez pas d’erreur et un prompt faite :

pwd
#qui devrait affiché
# /
ls -al
#qui devrait vous afficher une petite arborescence tel que celle-ci:
#drwxr-xr-x 7 root root 4096 May 25 16:15 .
#drwxr-xr-x 7 root root 4096 May 25 16:15 ..
#-rw-r--r-- 1 root root  220 May 25 16:14 .bash_logout
#-rw-r--r-- 1 root root 3115 May 25 16:14 .bashrc
#-rw-r--r-- 1 root root  675 May 25 16:14 .profile
#drwxr-xr-x 2 root root 4096 May 25 16:15 bin
#drwxr-xr-x 2 root root 4096 May 25 16:15 dev
#drwxr-xr-x 3 root root 4096 May 25 16:15 etc
#drwxr-xr-x 4 root root 4096 May 25 16:15 lib
#drwxr-xr-x 4 root root 4096 May 25 16:15 usr

Si quelqu’un trouve un petite technique pour avoir le bon prompt aussi ça serait cool car là on a le prompt de bash par défaut, et le .bashrc ne s’exécute pas.

Je suis ouvert à tout commentaires afin d’enrichir cette article, posez vos questions dans les commentaires ci-dessous

Chez dedibox il existe une interface de gestion des dns très simple qui vous permettra de configurer vos enregistrements très simplement, mais vous pouvez tout de même créer votre propre serveur DNS.

Tout d’abord, la plate forme utilisée sur ses deux serveurs était Ubuntu 9.04 server (x86_64). Il m’a donc fallut installer bind9 :

sudo aptitude install bind9

.

Un fois installé le paquet .deb aura mis en place les fichiers de configuration de bind9 dans /etc/bind9/. Dans ce dossier nous trouverons 3 fichiers nommés :

• /etc/bind/named.conf : ce fichier stocke la configuration basique de bind comme quelque zone de local forward et les reverses zones.
• /etc/bind/named.conf.local : ce fichier contiendra vos propres zones
• /etc/bind/named.conf.options : ce fichier contient en autres les options par lesquelles vous allez pouvoir changer la façon dont votre serveur DNS réagit.

Configurons donc /etc/bind/named.conf.options nous allons ici dire à bind d’écouter par toutes les adresses ipv4 et v6 qui se trouvent sur votre serveur. Voici le contenu de mon fichier :

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
213.186.33.99;
};

auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { any; };
listen-on { any; };
// Les adresses autorisées à interroger de façon récursive le serveur DNS
allow-recursion
{
127.0.0.1;
ip.de.votre.serveur;
};

// Autorise le transfert de zone uniquement pour ns.kimsufi.com pour notre cas
allow-transfer { 213.186.33.199; };

};

Ici pour votre configuration vous pouvez changer l’adresse ip du DNS secondaire dans la clause forwarders. Les autres options tel que listen-on-v6 et listen-on vous respectivement définir le fait que le serveur DNS doit écouter les requètes DNS sur toutes les adresses possibles quelles soit ipv6 ou ipv4. Ce qui est d’ailleurs une condition impérative afin d’établir un serveur DNS internet, sinon celui-ci restera par défaut un serveur dns contrôlant des zones locales.

Ensuite passons à la configuration d’une zone. Editons le fichier /etc/bind/named.conf.local afin d’y renseigner nos zones.

zone "mon-site.tld" {
type master;
allow-transfer { 213.186.33.199; };
file "/etc/bind/mon-site.tld.hosts";
notify yes;
};

Naturellement vous allez remplacer mon-site.tld par le site voulu, la clause file va indiquer ou es ce que l’on stockera la configuration de notre zone. Attention apparemment (c’est à vérifier) pour les domaines en .fr il faut absolument spécifier allow-transfer et spécifier le dns qui s’occupera des transferts. notify yes accélère la mise à jour.

Puis nous allons renseigner le fichier de notre zone : /etc/bind/mon-site.tld.hosts de cette façon :

$ttl 3H
mon-site.tld.    IN    SOA    ksxxxx.kimsufi.com. emailvalide.domaine.tld. (
2009051501  ;serial (version)
3600          ;refresh period
900           ;retry refresh this often
604800        ;expiration period
3600          ;minimum TTL
)

mon-site.tld.        IN    NS    ksxxxx.kimsufi.com.
mon-site.tld.        IN    NS    ns.kimsufi.com.
IN    A    123.234.1.2
mail                 IN    A    123.234.1.2
svn                  IN    A    123.234.1.2
www                  IN    CNAME    mon-site.tld.
mon-site.tld.        IN    MX      10    mail.mon-site.tld.

Quelques petites explications : tout d’abord les points après les noms de domaines ne sont pas là pour faire jolie, si vous savez comment marche DNS vous savez pourquoi, personnellement je crois me rappeler que ça correspond à la douzaine de serveurs DNS principaux répartis sur la surface du globe qui sont les pères de tous les dns existants sur la toile.
Bon sinon pour la configuration nous avons « mon-site.tld. IN SOA ksxxxx.kimsufi.com. emailvalide.domaine.tld. » :

• IN : signifie internet, c’est à dire que la zone suivante est destiné à la toile
• SOA : Star Of Authority indiquant que le prochain paramètre sera le serveur de nom faisant autorité c’est à dire votre DNS principal.
• ksxxxx.kimsufi.com. : DNS principal de votre domaine, si vous êtes chez un autre hébergeur vous pouvez utiliser le fqdn de votre serveur, par exemple chez dedibox : sd-xxxxx.dedibox.fr
• emailvalide.domaine.tld. : ici on renseigne une adresse email en remplaçant le @ par un point et on termine par un point bien sûr.

Les paramètres peuvent ne pas être touchés sauf le serial : « 2009051501 ;serial (version) » par defaut on établit ce serial en concatenant une date et une nombres de changement du fichier en cours (2009 05 15 01 correspond au 15 mai 2009 et le fichier a été modifié 1 fois), mais vous pouvez mettre une numéro que vous voulez.

Ensuite les choses se corsent :

• mon-site.tld. IN NS ksxxxx.kimsufi.com.
  • mon-site.tld : le nom de votre site a définir dans le serveur de noms.
  • IN : toujours internet.
  • NS : Signifie que le prochain paramètre sera le sera de nom dans lequel on renseigne le site.
  • ksxxxx.kimsufi.com. : le seveur de noms
• IN A 123.234.1.2
  • Il n’y a rien avant IN, c’est normal cette enregistrement va nous servir à accéder au site grace à son fqdn ici mon-site.tld
  • A : fait correspondre un nom d’hôte à une adresse IPv4 de 32 bits distribués sur quatre octets
  • 123.234.1.2 : adresse ip surlaquel le site sera utilisé.
• mail IN A 123.234.1.2
  • mail : on définit ici un sous domaine
  • comme dans l’enregistrement précédent
• www IN CNAME mon-site.tld.
  • CNAME : canonical name record qui permet de faire d’un domaine un alias vers un autre. Cet alias hérite de tous les sous-domaines de l’original. Ici on a créé un alias de www.mon-site.tld ver mon-site.tld
• mon-site.tld. IN MX 10 mail.mon-site.tld.
  • MX 10 : Serveur de type mail exchange record qui définit les serveurs de courriel pour ce domaine, suivit de sa priorité plus le chiffre est bas plus le serveur est prioritaire.

Si vous voulez d’autres précisions sur les autres types d’enregistrements lisez l’article de wikipedia sur DNS qui vous décrira les types comme AAAA destinés à IPv6, TXT pour un enregistrement de type commentaire, ou encore PTR qui est le contraire de A.

Voilà vous savez le minimum pour configurer ce type de fichiers. Un fois que vous avez terminer l’édition de ces fichiers n’oubliez pas de reloadé bind9 et de vérifier les logs :

sudo invoke-rc.d bind9 reload

sudo tail -f -n 30 /var/log/daemon.log

ou plus simplement :

named-checkconf -z

Pour vérifier que votre serveur est bien comme il faut :

nslookup mon-site.tld
nslookup www.mon-site.tld
nslookup mail.mon-site.tld

Et la même chose sur le DNS secondaire de votre provider :

nslookup mon-site.tld ns.kimsufi.com
nslookup www.mon-site.tld ns.kimsufi.com
nslookup mail.mon-site.tld ns.kimsufi.com

A noter que la configuration des dns sur votre serveur peux prendre plusieurs heures voir jours à arriver jusqu’aux serveurs DNS de votre FAI de votre domicile.

N’hésitez pas à faire part de vos soucis ou remarques dans les commentaires, cette article n’est pas immuable et évoluera en fonction des expériences de chacun d’entre nous

Liste complète des options disponible pour les fichiers de conf de BIND9 :
http://ftp.isc.org/www/bind/arm95/Bv9ARM.ch06.html

<div>
<object
type="application/x-shockwave-flash"
data="/chemin-vers-le-swf/votre.swf"
width="800px"
height="600px">
<param name="movie" value="/chemin-vers-le-swf/votre.swf" />
<img src="/chemin-vers-image-de remplacement/votre.png" alt="Vous ne disposez pas d'un plugin flash" />
</object>
</div>

Ce code marche dans IE6-7, FF1-2-3, Opera 9 et sup, Safari 3.1, les autres navigateurs je n’ai pas pu tester, j’attends vos retour pour savoir si je peux allonger la liste.

RQ : Ce code peut vous éviter certains plantages inhérent à l’utilisation de la balise embed par exemple…

Donc en root, le sudo marche pas avec cette commande :

echo 1 > /sys/class/leds/asus\:gaming/brightness

et donc pour les éteindre il suffit de faire : toujours en root

echo 0 > /sys/class/leds/asus\:gaming/brightness

Pour les autres leds lister le dossier /sys/class/leds

Je vous rappelle aussi que ce portable est aussi muni d’un écran OLED. Pour l’activer et en faire ce que vous voulez allez visiter la page de documentation Ubuntu sur asusoled

Rq : Sur ce portable tout est supporté à partir de Ubuntu 7.10 à part le tuner TNT qui n’est pas encore pris en charge et la webcam qui a une image inversée.

//Fonction algorithme de Luhn
function isLuhnNum($num)
{
	//longueur de la chaine $num
	$length = strlen($num);

	//resultat de l'addition de tous les chiffres
	$tot = 0;
	for($i=$length-1;$i>=0;$i--)
	{
		$digit = substr($num, $i, 1);

		if ((($length - $i) % 2) == 0)
		{
			$digit = $digit*2;
			if ($digit>9)
			{
				$digit = $digit-9;
			}
		}
		$tot += $digit;
	}

	return (($tot % 10) == 0);
}

Merci à Andras pour sa précision

Original : http://p2p.wrox.com/archive/proasp_howto/2002-02/27.asp

<%
function tohex(value)

  value = clng(value)
  tohex = lcase(hex(value))
  do while len(tohex) < 8
    tohex = "0" & tohex
  loop
end function

function tobin(value)
  dim hexstr
  hexstr = tohex(value)
  tobin = ""
  for i = 1 to len(hexstr)
    select case mid(hexstr, i, 1)
      case "f", "F"
        tobin = tobin & "1111"
      case "e", "E"
        tobin = tobin & "1110"
      case "d", "D"
        tobin = tobin & "1101"
      case "c", "C"
        tobin = tobin & "1100"
      case "b", "B"
        tobin = tobin & "1011"
      case "a", "A"
        tobin = tobin & "1010"
      case "9"
        tobin = tobin & "1001"
      case "8"
        tobin = tobin & "1000"
      case "7"
        tobin = tobin & "0111"
      case "6"
        tobin = tobin & "0110"
      case "5"
        tobin = tobin & "0101"
      case "4"
        tobin = tobin & "0100"
      case "3"
        tobin = tobin & "0011"
      case "2"
        tobin = tobin & "0010"
      case "1"
        tobin = tobin & "0001"
      case else
        tobin = tobin & "0000"
    end select
  next
end function

function bin2dec(binstr)
  dim flip
  flip = false
  bin2dec = clng(0)
  if left(binstr,1) = "0" then
    for i = 1 to len(binstr)
      if mid(binstr,33-i,1)="1" then
        bin2dec = bin2dec + (2^(i-1))
      end if
    next
  else
    for i = 1 to len(binstr)
      if flip then
        if mid(binstr,33-i,1)="0" then
          bin2dec = bin2dec - (2^(i-1))
        end if
      else
        if mid(binstr,33-i,1)="1" then
          bin2dec = bin2dec - (2^(i-1))
          flip = true
        end if
      end if
    next
  end if
end function  

function rshift(value,count)
  dim binstr
  if count >= 32 then
    binstr = ""
  elseif count > 0 then
    binstr = left(tobin(value), 32-count)
  else
    binstr = tobin(value)
  end if
  do while len(binstr) < 32
    binstr = "0" + binstr
  loop
  rshift = bin2dec(binstr)  
end function

function lshift(value,count)
  dim binstr
  if count >= 32 then
    binstr = ""
  elseif count > 0 then
    binstr = right(tobin(value), 32-count)
  else
    binstr = tobin(value)
  end if
  do while len(binstr) < 32
    binstr = binstr + "0"
  loop
  lshift = bin2dec(binstr)
end function

function rol(value,count)
  rol = lshift(value,count) or rshift(value,32-count)
end function

function add32(a, b)
  dim bina, binb, total, result, carry
  bina = tobin(a)
  binb = tobin(b)
  result = ""
  carry = "0"
  for i = 1 to 32
    total = 0
    if mid(bina,33-i,1)="1" then total = total + 1
    if mid(binb,33-i,1)="1" then total = total + 1
    if carry="1" then total = total + 1
    select case total
      case 3
        carry = "1"
        result = "1" + result
      case 2
        carry = "1"
        result = "0" + result
      case 1
        carry = "0"
        result = "1" + result
      case else
        carry = "0"
        result = "0" + result
    end select
  next
  add32 = bin2dec(result)    
end function

function f(b,c,d,t)
  if t < 20 then
    f = (b and c) or ((not b) and d)
  elseif t < 40 then
    f = b xor c xor d
  elseif t < 60 then
    f = (b and c) or (b and d) or (c and d)
  else
    f = b xor c xor d
  end if
end function

function k(t)
  if t < 20 then
    k = clng(1518500249)
  elseif t < 40 then
    k = clng(1859775393)
  elseif t < 60 then
    k = clng(-1894007588)
  else
    k = clng(-899497514)
  end if
end function

function pad(message)
  dim l, n
  l = len(message)
  n = (((l+8) \ 64) + 1)*16
  redim m(n-1)
  for i = 0 to n-1
    m(i) = clng(0)
  next
  for i = 0 to l-1
    m(i\4) = m(i\4) or lshift(asc(mid(message,i+1,1)),(24-(i mod 4)*8))
  next
  m(l\4) = m(l\4) or lshift(clng(128),(24-(l mod 4)*8))
  m(n-1) = l*8
  pad = m
end function

function sha1(message)
  dim h0, h1, h2, h3, h4
  dim a, b, c, d, e, temp
  dim l, n
  dim w(79)

  l = len(message)
  n = (((l+8) \ 64) + 1)*16
  m = pad(message)

  h0 = clng(1732584193)
  h1 = clng(-271733879)
  h2 = clng(-1732584194)
  h3 = clng(271733878)
  h4 = clng(-1009589776)

  for block = 0 to n-1 step 16
    a = h0
    b = h1
    c = h2
    d = h3
    e = h4
    for t = 0 to 79
      if t < 16 then
        w(t) = m(block + t)
      else
        w(t) = rol(w(t-3) xor w(t-8) xor w(t-14) xor w(t-16),1)
      end if
      temp = add32(rol(a,5),add32(f(b,c,d,t),add32(e,add32(w(t),k(t)))))
      e = d
      d = c
      c = rol(b,30)
      b = a
      a = temp
    next
    h0 = add32(h0, a)
    h1 = add32(h1, b)
    h2 = add32(h2, c)
    h3 = add32(h3, d)
    h4 = add32(h4, e)
  next
  sha1 = tohex(h0)+tohex(h1)+tohex(h2)+tohex(h3)+tohex(h4)
end function
%>

Aller modifier le fichier ~/.bashrc

gksudo gedit ~/.bashrc

et insérez en fin de fichier ces quelques lignes


if [ "$PS1" ]; then
if test `whoami` != "root"
then
PS1='${debian_chroot:+($debian_chroot)}\[\033[1;34m\]\u\[\033[1;33m\]@\[\033[1;34m\]\h\[\033[0;0m\]:\[\033[1;31m\]\w\[\033[0;0m\]\$ '
else
PS1='${debian_chroot:+($debian_chroot)}\[\033[1;31m\]\u\[\033[1;34m\]@\[\033[1;34m\]\h\[\033[0;0m\]:\[\033[0;34m\]\w\[\033[0;0m\]\$ '
fi
fi

Si vous voulez changer de couleur il suffit de se référer à ce tableau :


# ----------------------------------------------------------------------
# Définition des couleurs possibles
# ----------------------------------------------------------------------
# couleurs de base
rouge="\[\033[31m\]"
vert="\[\033[32m\]"
jaune="\[\033[33m\]"
bleu="\[\033[34m\]"
magenta="\[\033[35m\]"
blanc="\[\033[00m\]"

# couleurs en gras
h_rouge="\[\033[1;31m\]"
h_vert="\[\033[1;32m\]"
h_jaune="\[\033[1;33m\]"
h_bleu="\[\033[1;34m\]"
h_magenta="\[\033[1;35m\]"
h_blanc="\[\033[1;00m\]"


Pour installer les paquets nécessaire à Samba il faut taper la commande :

apt-get install samba

Sous debian le fichier /etc/samba/smbpasswd n’existe pas, il faut le créer par la commande :

En mode root (sudo -s)
cat /etc/passwd | /usr/sbin/mksmbpasswd > /etc/samba/smbpasswd

Création des groupes et des utilisateurs de Samba

On commence par créer les groupes et les comptes d’utilisateurs dont on aura besoin affecté au groupe grpdomain. On créait également un groupe qui s’appellera machines pour pouvoir intégrer les machines clientes au serveur (il faudra par la suite rajouter à la main chaque compte de machine pour les intégrer).

Création du groupe pour les machines clientes :

groupadd machines

Création du groupe anglobant tous les utilisateurs :

groupadd grpdomain

Création des utilisateurs :

useradd –m –G grpdomain –c "Mr Utilisateur 1" user1
passwd user1
useradd –m –G grpdomain –c "Mme Utilisatrice 2" user2
passwd user2
useradd –m –G grpdomain –c "Mlle Utilisatrice 3" user3
passwd user3

On créait ensuite les répertoires qui constitueront les ressources partagées par Samba. Les

commandes chown et chmod permettent d’y inscrire les droits d’accès.

Les répertoires de chaque utilisateur sont lisibles et inscriptibles exclusivement par

leurs propriétaires respectifs (répertoire personnel de l’utilisateur).

Le répertoire commun peut être lu et modifié par son propriétaire (root) ainsi que par tous

les membres du groupe grpdomain.
Enfin non créerons le réperoire qui acceuilleura les script de logon.

Création du répertoire contenant les partages personnels des utilisateurs :

mkdir /home/samba
mkdir /home/samba/users

Création du répertoire commun :

mkdir /home/samba/commun
chown root:grpdomain /home/samba/commun/

Création du répertoire netlogon :

mkdir /home/samba/netlogon

Création des réperoires personnels des utilisateurs :
for i in user1 user2 user3
\ do
\ mkdir /home/users/$i
\ chown $i /home/user/$i
\ chmod 700 /home/users/$i
\ done


On procède ensuite à l’ajout des utilisateurs dans la base de Samba, avec la commande smbpasswd ainsi qu'un mot de passe (l'option -e précise que le compte samba créé est activé).

Les commandes correspondantes :

smbpasswd -a root
smbpasswd -e -a user1
smbpasswd -e -a user2
smbpasswd -e -a user3

Configuration de samba

Fichier de configuration smb.conf créé:

[global]
# Définition du nom de domaine
workgroup = pdc.priv
Server string = %h

# Niveau de sécurité user, demande un login et un mot de passe

security = user
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

#controleur de domaine principal
domain master = yes
os level = 255

# Gestion de l'authentification sur le domaine
domain logons = yes
wins support = yes

#nom du script d'ouverture de session
#ce script se situera dans /home/samba/netlogon/logon.bat
logon script = logon.bat

# partage pour pouvoir exécuter des scripts lors de l'ouverture de session

[netlogon]

path = /home/samba/netlogon
writable=no
browseable = no

#partage d’un répertoire commun

[commun]

comment=répertoire commun
path=/home/samba/commun
read only=no
guest ok=yes

#partage des répertoires des utilisateurs

[%U]

Comment = répertoire de %U
Path=/home/samba/users/%U
Valid users=%U
public=no
writable=yes
printable=no

Pour tester ce fichier nous tapons la commande testparm /etc/samba/smb.conf.

On configure également le fichier logon.bat. On tape dans un fichier texte les
commandes:

net use z: \\serv08\commun
net use y: \\serv08\%username%

On place le fichier logon.bat dans le répertoire netlogon de samba.

Lors de la connexion d’un utilisateur le script se lancera sur la machine client et

affichera les lecteurs réseau z et y.

Ensuite vous entrez vos machines clientes dans le domaine.

Intégration d'un client windows dans samba

Il faut au préalable créer les différents comptes machine dans la base UNIX ainsi que dans SAMBA.

Nous avions préalablement créé un groupe nommé machines, il nous suffira donc maintenant de créer les compte machine qu'il nous faut.

Pour toutes les machines que vous voudrais rajouter au domaine il vous faudra noter au préalable leur nom netbios respectif.

On ajoute le compte machine en ajoutant un $ aprés son nom netbios :

adduser netbiosnamepcuser1$ -g machines –s /dev/false –d /dev/null

On ajoute ensuite le nom de la machine en tant qu’utilisateur samba dans le fichier /etc/samba/smbpasswd

smbpasswd -m -a netbiosnamepcuser1$

L'option -m spécifie que ce compte est un compte machine

Aprés avoir fait cette manipulation vous pouvez intégrer une machine windows sur le controleur de domaine avec le compte root de celui-ci.


apt-get install vsftpd


Une fois le serveur installé, il créé un user ‘ftp’ avec un groupe ‘nogroup’.
L’utilisateur ftp possède maintenant un répertoire dans /home/ftp/ en root:nogroup.

On peut d’or et déjà se logguer en tant qu’utilisateur anonyme.

Si on veut modifier le répertoire du serveur il suffit de modifier son chemin.
Ex :
on va choisir le chemin /var/ftp
donc :

mkdir /var/ftp
chown root:nogroup /var/ftp


On modifie le répertoire personnel de l’user ftp et tout devrait être bon.

Installation de db nécessaire pour la gestion des utilisateurs au cas par cas :


apt-get install libdb3-util


(J’ai choisit de ne pas utiliser une des dernière version du au faite de certains problèmes
que je n’ai pas réussi à résoudre ).

Maintenant que tout ca marche pensons à sauvegarder les fichiers de configuration même
si les modifications sont des plus légères.


cp /etc/vsftpd.conf /etc/vsftpd.conf1
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak1


Attaque au cas du cas par cas :
pour la liste des utilisateurs virtuels il faut créér un fichier virtual.txt
( on peut choisir un autre nom, il vous suffira d’adapter ), du style :
jack
none
polo
senva

jack étant l’user et none son passe, polo l’user et senva son passe, donc pour résumer :
login
pass
login
pass

Ensuite il nous faut formater les données de ce fichier pour qu’elles puissent être lu par PAM :


db3_load -T -t hash -f virtual.txt virtual.db


Un petit chmod 600 virtual.* s’impose sinon juste le .db et vous supprimer le .txt qui ne sert plus à rien.

Direction /etc/pam.d/ :


gedit vsftp


Soit vous supprimez les lignes déjà existantes soit vous mettez des commentaires
et placez y ces lignes :


auth required /lib/security/pam_userdb.so db=/etc/virtual
account required /lib/security/pam_userdb.so db=/etc/virtual


Reste à configurer vsftpd.conf pour accepter ces utilisateurs :


anonymous_enable=NO #désactive les anonymes
guest_enable=YES #active les users virtuels
guest_username=ftp #nom de l'utilisateur, j'ai choisit de mettre celui créé à l'installation


par vsftpd.

Testez maintenant le serveur en vous connectant avec un des comptes de la base PAM, essayez en anonyme ou avec un compte réel, pour voir le résultat.

Maintenant que ca marche, nous pouvons passer à un paramétrage plus complet de vsftpd.conf
avant de vraiment attaquer le cas par cas.


listen=YES
#
#listen_ipv6=YES
#
#definie le nombre de clients et de fois qu'il peut-être connecté
max_clients=4
max_per_ip=1
#
#montre les fichiers et répertoire comme appartenant a FTP
hide_ids=YES
#
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
guest_enable=YES
guest_username=ftp
user_config_dir=/etc/vsftpd_user
#
#
#écrire sur le serveur et droit des anonymes
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_world_readable_only=YES
#
local_umask=022
#
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
#xferlog_std_format=YES
#
idle_session_timeout=600
#
data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
async_abor_enable=YES
#
#pas d'up ni dl en ascii
ascii_upload_enable=NO
ascii_download_enable=NO
#
ftpd_banner=Welcome On My Domain.
#
#deny_email_enable=YES
#
#banned_email_file=/etc/vsftpd.banned_emails
#
#cantonne les utilisateurs locaux à leur répertoire personnel
chroot_local_user=YES
#
#
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
#désactivation du ls récursif
ls_recurse_enable=NO
#
secure_chroot_dir=/var/run/vsftpd
#
# nom du fichier pam
pam_service_name=vsftpd
#
#location de la certification rsa pour le ssl
rsa_cert_file=/etc/ssl/certs/vsftpd.pem


Aprés avoir créér la base de la gestion par utilisateurs, passons à un affinement des règles. Dans le fichier vsftpd.conf, il faut rajouter la ligne:


user_config_dir=/etc/vsftpd_user


Avec ca on indique à vsftpd qu’il existe un répertoire /etc/vsftpd_user qui contiendra les fichiers de configurations pour chaque utilisateur.


mkdir /etc/vsftpd_user


Il suffit maintenant de créér un fichier portant le nom de la personne voulu dans ce dossier avec les options désirées pour chaque personne et créér une réelle gestion des membres au cas par cas.

Petit exemple :
nous voulons que l’utilisateur polo puisse monter et télécharger des données, il nous faut donc lui créér un fichier de configuration à son nom dans /etc/vsftpd_user


touch polo
gedit polo


et les options à mettre pour contrer les règles principales définies pour vsftpd :


anon_upload_enable=YES
write_enable=YES
anon_world_readable_only=NO


Maintenant il peut télécharger mais aussi stocker des données sur le serveur.

Ca peut-être utile de traiter les utilsateurs au cas par cas ou par groupe, mais pour certains cas rien ne faut un répertoire « chrooter » ou seul le membre pourra y rentrer.


echo "local_root=polo" >> /etc/vsftpd_user/polo


Ceci permet de créér un répertoire perso à polo ( bien entendu penser au mkdir et chown ).

Ce tutoriel est consacré au montage d’un disque dur externe. L’avantage de ce procédé est de pouvoir choisir un boitier qui plaît et donc pas imposé par les grossistes de plus le gros avantage reste de pouvoir mettre le disque qui plait en fonction de ses capacités, de sa fiabilité mais surtout de ses performances comme on dit souvent on est mieux servis que par soi-même!.

Le matériel utilisé pour cette opération est :

• un disque dur
• un boîtier externe pour disque dur
• un tournevis adapté

Voici les photos du boîtier et du disque, ici on à un disque sérial ATA et son boîtier bien vérifier les compatibilités lors de l’achat, ne pas mélanger Serial-ATA et IDE:

Et la les photos du bundle du boitier externe :

Ensuite il faut demonter le boitier externe:

Après il faut le connecter au disque dur et le ranger dans le boitier en le vissant a celui ci si possible:

Ensuite il faut mettre le pad thermique fournit avec le boitier externe:

Puis refermer le boitier il n’y a plus qu’à le connecter au pc pour entamer la configuration logicielle!!