Lister les connexions entrantes de votre ordinateur

La commande netstat -tape permet de lister les processus qui acceptent des connections entrantes sur votre ordinateur. Facile à se rappeler !
Pour plus d’information, man netstat.

# netstat -tape
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        User       Inode       PID/Program name
tcp        0      0 localhost:60061         *:*                     LISTEN      mysearch   7850        2813/python     
tcp        0      0 *:43173                 *:*                     LISTEN      statd      13393       1844/rpc.statd  
tcp        0      0 *:sunrpc                *:*                     LISTEN      root       13372       1816/rpcbind    
tcp        0      0 *:ssh                   *:*                     LISTEN      root       33422       6097/sshd       
tcp        0      0 *:gdomap                *:*                     LISTEN      root       6788        2253/gdomap     
tcp6       0      0 [::]:sunrpc             [::]:*                  LISTEN      root       13375       1816/rpcbind    
tcp6       0      0 [::]:32947              [::]:*                  LISTEN      statd      13397       1844/rpc.statd  
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       33424       6097/sshd

Dossier partagé entre utilisateurs sous Linux

La problématique du jour est de faire un répertoire partagé entre les utilisateurs d’un même ordinateur sous linux.

Permissions Unix, la mauvaise solution

Les permissions Unix sont très performants pour restreindre les accès mais rendent la création d’un répertoire partagé impossible en pratique.

La solution classique serait de créer un groupe qui regroupe les utilisateurs et de faire en sorte que tous les fichiers partagés appartiennent à ce groupe. Ca fonctionne en théorie, mais dans la pratique, les utilisateurs créent/modifient/copient  des fichiers sans vouloir mettre à jour les permission groupes. Et seul le propriétaire du fichier peut modifier la permission de groupe du fichier, ce qui rend la chose ingérable.

Le SGID est également une fausse bonne idée pour propager les droits aux fichiers créés car il ne se propage pas aux fichiers copiés par l’utilisateur vers le dossier partagé.

ACL

La solution élégante et performante passe par les ACL ou Access Control List. Elle permet un contrôle bien plus fin et explicite.

Pour avoir accès aux droits ACL vous devez avoir ajouté l’option à votre /etc/fstab .
Ex :

/dev/hda6 /home ext3 options1,option2,option3,acl 0 0

Une fois fait, remontez le point de montage.

# mount -o remount,acl /home

Assignation des droits ACL

On crée un dossier en root /home/dossier_partage. Personne peut y accéder à part root. Jusqu’ici rien de spécial.

# cd /home
# mkdir dossier_partage
# chmod 770 dossier_partage

On ajoute des droits étendus pour que les utilisateurs alice et bob puisse tout faire dans ce dossier.

# setfacl -m u:alice:rwX dossier_partage
# setfacl -m u:bob:rwX dossier_partage

On ajoute des droits étendus pour que les fichiers/dossiers créés dans ce dossier aient par défaut les mêmes droits étendus.

# setfacl -m d:u:alice:rwX dossier_partage
# setfacl -m d:u:bob:rwX dossier_partage

On peut vérifier les droits finaux ainsi :

$ getfacl dossier_partage/

# file: dossier_partage/
# owner: root
# group: root
user::rwx
user:alice:rwx
user:bob:rwx
group::rwx
mask::rwx
other::—
default:user::rwx
default:user:alice:rwx
default:user:bob:rwx
default:group::rwx
default:mask::rwx
default:other::—

Astuce sécurité

Par défaut, le /home/user des utilisateurs n’est pas privé sous Debian ! Si bien que Alice peut lire les fichier dans /home/bob .

Je vous recommande la lecture de ce document sur comment sécuriser Debian, surtout ces 2 points

  • 4.11.13.1 Limiter l’accès aux informations d’autres utilisateurs
  • 4.11.12 Positionner des umasks aux utilisateurs

Le plus important : Pour tous vos utilisateurs existants, assurez que le dossier home bloque bien l’accès aux autres utilisateurs :

# chmod 750 /home/bob

Ensuite, vous pouvez faire en sorte que soit créé automatiquement comme ça quand vous créez un utilisateur:

# dpkg-reconfigure adduser

et choississez Non

Vous pouvez également faire en sorte que les utilisateurs créént par défaut des fichiers que seuls eux peuvent voir :

# echo session optional pam_umask.so umask=027 >> /etc/pam.d/common-session

Dans /etc/login.defs, changez la valeur à UMASK 027

Pour vérifier les droits de l’utilisateur courant :

$ umask

Installer Steam sur Debian Testing (Jessie)

Voici les commandes nécessaires pour installer Steam sur Debian Testing en utilisant le binaire officiel de Valve.

Les commandes sont à lancer en root.

# dpkg –add-architecture i386

# apt-get update

# apt-get install libc6:i386 libgl1-mesa-glx:i386

# wget http://media.steampowered.com/client/installer/steam.deb

# dpkg -i steam.deb

On peut ensuite lancer steam depuis le compte de son user:

$ steam

J’ai testé Dota2 avec ma carte graphique intégrée Intel HD4600 et c’est injouable en basse qualité alors que j’ai de bonne performances avec son concurrent HoN.

Régler le niveau de noir de la sortie vidéo HDMI

Si vous branchez un écran sur la sortie HDMI, il se peut que les couleurs soient trop fades (le noir de la barre Gnome-shell apparaît comme gris foncé) ou trop sombres (les films paraissent mal définis dans les zones sombres).

Cela est du au fait que les valeurs transportées par le câble HDMI sont encodées soit sur  0-255, soit sur 13-235 et que l’écran et la carte graphique doivent s’accorder sur la même plage de valeur pour définir correctement le blanc et noir.

Pour comprendre le problème en profondeur, je vous recommande la lecture de cet article.

Sous Linux, voici les commandes pour passer la sortie vidéo de votre carte graphique d’une plage à l’autre :

$ xrandr –output HDMI2 –set « Broadcast RGB » « Full »

$ xrandr –output HDMI2 –set « Broadcast RGB » « Limited 16:235″

Personnellement, j’ai eu le soucis en branchant un écran LED pour ordinateur Samsung sur la sortie HDMI du GPU HD4000 intégré à mon CPU Intel i5.

J’ai du forcer le range à « Full » pour retrouver de vrais noirs comme expliqué dans cet article et aussi régler le « HDMI Black level » à « Normal » dans le panneau de configuration de l’écran.

Exécuter une application graphique root dans une session utilisateur

avec su, si vous essayez de lancer une application en mode root, vous allez avoir ce genre de problème :

 root@localhost:/home/user# gedit
(gedit:11184): EggSMClient-WARNING **: Failed to connect to the session manager: None of the authentication protocols specified are supported
** (gedit:11184): WARNING **: Could not connect to session bus

Pour exécuter une application graphique en root depuis un terminal graphique, il faut utiliser gksu sous Gnome par exemple. Exemple :

$ gksu gedit

Jeu de démonstration d’Unity 4 sur Linux

Unity 4 est encore en beta mais une fonctionnalité très attendue est de pouvoir créer des binaires exécutables sous Linux depuis l’éditeur de jeu.

L’éditeur est livré avec un petit jeu de démonstration « Angrybots » et l’on peut déja s’amuser avec les versions compilées pour Linux :

Sachez qu’Angrybots est aussi disponible sur Android.

Vous pourrez rencontrer le problème suivant à l’exécution si vous avez une vieille distribution (Ex : Debian Squeeze, Ubuntu 10.04) :

./AngryBots: /usr/lib/libstdc++.so.6: version `GLIBCXX_3.4.14′ not found (required by ./AngryBots)

Cela veut dire que la  librairie libstdc++ présente sur votre système n’est pas assez à jour pour faire fonctionner le programme. Qu’à cela ne tienne on va utiliser une nouvelle version de celle-ci sans casser notre belle distribution. Pour cela, on va télécharger la nouvelle version de la librairie depuis les dépôts Wheezy :

Décompressez les dans un répertoire. La structure est du type :

  • usr
  • |- lib
  • —|- libstdc++.so.6.0.15
  • —|- libstdc++.so.6

Copiez les fichiers contenu dans le répertoire « lib » vers le répertoire contenant votre exécutable Angrybots.

Ouvre un terminal, placez vous dans le répertoire de l’exécutable Angrybots et contenant maintenant nos fichiers supplémentaires puis tapez ceci :

$ export LD_LIBRARY_PATH="`pwd`:$LD_LIBRARY_PATH"
$ chmod +x AngryBots
$ ./AngryBots

(Astuce : Pour vérifier toutes les dépendances d’un programme, lancer cette commande : $ ldd monexecutable)

 

Diablo 3 ne marche plus

Le modèle économique de Diablo 3 continue de faire des dégats. Pour rappel, une connexion Internet est obligatoire pour jouer à ce jeu, même en mode solo, car une partie du contenu du jeu provient des serveurs (pop des monstres, des objets, sauvegarde des personnages).

Suite à une mise à jour du jeu, obligatoire pour continuer à jouer, le jeu a décidé de faire planter Wine et mon ordi avec (voir bugs #30849 et #30920). Comme le jeu n’est pas supporté sous Linux par l’éditeur, on ne peut bien sûr pas râler…

Mais bon j’ai acheté le jeu car il fonctionnait sous Wine :-/

Bref, une raison de plus de ne pas suivre cette mode de « service de jeu en ligne ». Je retourne sur HoN qui a un support natif de Linux.

PS: la mise à jour du jeu demande l’acceptation de nouvelles CGU (sûrement liées à l’arrivée de l’hôtel des ventes en €). Si on refuse ces nouvelles CGU, ça ne désactive pas l’hôtel des ventes, non, ca interdit carrément de continuer de jouer au jeu !!! C’est vraiment très fort.