Chapitre 6. Applications réseau

Debian propose pour les navigateurs, dans la section main, de nombreux paquets de greffons libres qui peuvent gérer non seulement Java (plateforme logicielle) et Flash mais aussi les fichiers MPEG, MPEG2, MPEG4, DivX, Windows Media Video (.wmv), QuickTime (.mov), MP3 (.mp3), Ogg/Vorbis, les DVD, VCD, etc. Debian propose aussi, dans les sections contrib ou non-free, des paquets de programmes facilitant l’installation de greffons non libres pour les navigateurs.

	Astuce
	Bien que l’utilisation des paquets Debian ci-dessus soit plus facile, il est toujours possible d’installer vous-même des greffons de navigateur en installant les fichiers « *.so » dans les répertoires de greffons, (par exemple, « /usr/lib/iceweasel/plugins/ ») et en redémarrant le navigateur.

Certains sites web refusent les connexions en se basant sur la chaîne « user-agent » de votre navigateur. Vous pouvez contourner cette situation en usurpant la chaîne user-agent. Vous pouvez le faire, par exemple, en ajoutant la ligne suivante dans les fichiers de configuration de l’utilisateur tels que « ~/.gnome2/epiphany/mozilla/epiphany/user.js » ou « ~/.mozilla/firefox/*.default/user.js » :

user_pref{"general.useragent.override","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"};

Vous pouvez aussi ajouter et réinitialiser cette variable en entrant l’URL « about:config » et en faisant un clic-droit pour afficher son contenu.

	Attention
	Usurper la chaîne user-agent peut provoquer de mauvais effets de bord avec Java.

Un courrier électronique est composé de trois parties : l’enveloppe, l’en-tête et le corps du message.

Les renseignements « To » et « From » de l’enveloppe sont utilisés par le SMTP pour délivrer le courrier électronique (« From » dans l’enveloppe indique l’adresse de rebond).

Les renseignements « To » et « From » de l’en-tête sont affichés par le client de messagerie (même s’ils sont généralement identiques à ceux de l’enveloppe, ce n’est pas toujours le cas).

Le client de messagerie a besoin d’interpréter l’en-tête du message et les données du corps en utilisant les Multipurpose Internet Mail Extensions (MIME) pour gérer le type de données et l’encodage du contenu.

Lors de la configuration de votre système de courrier électronique, ou lors de la résolution de problèmes de diffusion de courrier, vous devez tenir compte de ces nouvelles limitations.

À la lumière de cette situation hostile d’Internet, certains fournisseurs de service de courrier électronique comme Yahoo.com et Gmail.com offrent un service de courrier électronique sécurisé que l’on peut utiliser depuis n’importe où sur Internet en utilisant Transport Layer Security (TLS) et son prédécesseur, Secure Sockets Layer (SSL).

	Attention
	Il n’est pas réaliste de mettre en œuvre un serveur SMTP sur un réseau grand public pour envoyer de manière fiable le courrier électronique directement vers une machine distante. Il sera probablement rejeté. Vous devez utiliser les services de smarthost offerts par votre fournisseur d’accès ou par un fournisseur de courrier électronique indépendant.

Pour simplifier, supposons que le smarthost situé à « smtp.hostname.dom » exige l’authentification SMTP et utilise le port de soumission de messages (587) avec STARTTLS dans le texte qui suit.

La configuration de courrier électronique la plus simple est que le courrier électronique soit émis vers le smarthost du fournisseur d’accès et reçu du serveur POP3 de ce fournisseur d’accès par le MUA (consultez Section 6.4, « Agent de courrier électronique de l’utilisateur (« MUA ») ») lui-même. Ce type de configuration est courant avec les MUA entièrement basés sur une interface graphique tels que icedove(1), evolution(1), etc. Si vous devez filtrer le courriel selon son type, vous utiliserez les fonctions de filtrage du MUA. Dans ce cas, l’agent de transport du courrier (MTA) local (consultez Section 6.3, « Agent de transport de courrier électronique (« MTA ») ») n’aura que la distribution locale à effectuer.

La configuration de courriel de remplacement est que le courriel soit envoyé via un MTA local vers le smarthost du FAI et reçu du serveur POP3 du FAI par le logiciel de récupération du courriel (consultez Section 6.5, « Utilitaire de récupération et de rediffusion du courriel distant ») vers une boîte à lettres locale. Si vous avez besoin de filtrer le courriel en fonction de son type, vous pouvez utiliser un MDA (agent de distribution du courriel) avec filtres (consultez Section 6.6, « Agent de distribution du courriel (MDA) avec filtre ») pour filtrer les courriels vers des boîtes à lettres séparées. Ce type de configuration est populaire avec un simple MUA en mode console tel que mutt(1), mew(1), etc., bien que ce soit possible avec n’importe quel MUA (consultez Section 6.4, « Agent de courrier électronique de l’utilisateur (« MUA ») »). Dans ce cas, le MTA local (consultez Section 6.3, « Agent de transport de courrier électronique (« MTA ») ») doit faire à la fois la diffusion vers le smarthost et la diffusion locale). Comme les stations de travail mobiles n’ont pas de nom de domaine pleinement qualifié (FDQN) valable, vous devez configurer le MTA local pour masquer et simuler le nom de courrier local réel pour le courriel sortant afin d’éviter des erreurs de distribution (consultez Section 6.3.3, « Configuration de l’adresse de courriel »).

	Astuce
	Vous pourrez avoir envie de configurer MUA/MDA afin d’utiliser Maildir pour stocker les messages de courrier électronique quelque part dans l’arborescence de votre répertoire personnel.

$ sudo /etc/init.d/exim4 stop
$ sudo dpkg-reconfigure exim4-config

Définir « Nom de courriel du système » à sa valeur par défaut qui est le nom pleinement qualifié (FQDN, consultez Section 5.1.1, « Résolution du nom d’hôte »).

Définir « Liste d’adresses IP où Exim sera en attente de connexions SMTP entrantes » à sa valeur par défaut qui est « 127.0.0.1 ; ::1 ».

Supprimer le contenu de « Autres destinations dont le courriel doit être accepté ».

Supprimer le contenu de « Machines à relayer ».

Définir « Nom réseau ou adresse IP du système « smarthost » » à « smtp.hostname.dom:587 ».

Sélectionner « <Non> » pour « Faut-il cacher le nom local de courriel dans les courriels sortants ? ». (Utiliser plutôt « /etc/email-addresses » comme dans Section 6.3.3, « Configuration de l’adresse de courriel »).

Donner à « Faut-il optimiser les requêtes DNS (connexion à la demande)) ? » l’une des réponses suivantes :

Définir « Méthode de distribution du courrier local : » à « Format « mbox » dans /var/mail ».

Sélectionner « Oui » pour « Faut-il séparer la configuration dans plusieurs fichiers ? ».

Créer les entrées de mots de passe pour le smarthost en éditant «  /etc/exim4/passwd.client ».

$ sudo vim /etc/exim4/passwd.client
 ...
$ cat /etc/exim4/passwd.client
^smtp.*\.nommachine\.dom:nomutilisateur@nommachine.dom:motdepasse

Lancer exim4 par la commande suivante :

$ sudo /etc/init.d/exim4 start

Le nom de machine dans « /etc/exim4/passwd.client » ne doit pas être un alias. Vérifiez le nom de machine réel comme suit :

$ host smtp.hostname.dom
smtp.hostname.dom is an alias for smtp99.hostname.dom.
smtp99.hostname.dom has address 123.234.123.89

J’utilise une expression rationnelle dans « /etc/exim4/passwd.client » pour contourner le problème d’alias. SMTP AUTH fonctionne probablement même dans le cas où le FAI déplace la machine pointée par l’alias.

Vous pouvez mettre à jour vous-même la configuration d’exim4 de la façon suivante.

Veuillez lire le guide officiel se trouvant à « /usr/share/doc/exim4-base/README.Debian.gz » et update-exim4.conf(8).

	Attention
	Le lancement d’exim4 est long si on a choisi « Non » (valeur par défaut) à la demande « Faut-il optimiser les requêtes DNS (connexion à la demande) ? » lors de la configuration debconf et que le système n’est pas connecté à Internet lors du démarrage.

	Avertissement
	L’utilisation de mot de passe en texte non chiffré n’est pas sécurisée, même si votre FAI le permet.

	Astuce
	Même si l’utilisation de SMTP avec STARTTLS sur le port 587 est préférable, certains FAI utilisent encore l’obsolète SMTPS (SSL sur le port 465). Exim4, depuis la version 4.77, permet d’utiliser ce protocole SMTPS obsolète autant en tant que client que serveur.

	Astuce
	Si vous recherchez un MTA léger qui respecte « /etc/aliases » pour votre PC de bureau, vous devriez envisager de configurer exim4(8) avec « QUEUERUNNER='queueonly' », « QUEUERUNNER='nodaemon' », etc. dans « /etc/default/exim4 ».

Pour utiliser le courrier électronique d’Internet par l’intermédiaire d’un smarthost, vous devrez d’abord lire la documentation postfix et les pages de manuel importantes.

$ sudo /etc/init.d/postfix stop
$ sudo dpkg-reconfigure postfix

$ sudo postconf -e 'smtp_sender_dependent_authentication = yes'
$ sudo postconf -e 'smtp_sasl_auth_enable = yes'
$ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
$ sudo postconf -e 'smtp_sasl_type = cyrus'
$ sudo vim /etc/postfix/sasl_passwd

$ cat /etc/postfix/sasl_passwd
[smtp.hostname.dom]:587     nomutilisateur:motdepasse
$ sudo postmap hush:/etc/postfix/sasl_passwd

$ sudo /etc/init.d/postfix start

Il existe plusieurs fichiers de configuration de l’adresse de courriel pour l’acheminement du courriel, sa diffusion et les agents d’utilisateur.

Le nom de courriel ( mailname » dans le fichier « /etc/mailname » est habituellement un nom de domaine entièrement qualifié (FQDN) qui est résolu vers l’une des adresses IP de la machine. Pour les stations de travail mobiles qui n’ont pas de nom de machine pouvant être résolu par une adresse IP, définissez ce mailname à la valeur donnée par « hostname -f ». (C’est un choix sûr et qui fonctionne à la fois avec exim4-* et postfix.)

Astuce

Le contenu de « /etc/mailname » est utilisé par de nombreux programmes autres que les MTA pour définir leur comportement par défaut. Pour mutt, définissez les variables « hostname » et « from » dans le fichier ~/muttrc pour passer outre la valeur de mailname. Pour les programmes du paquet devscripts, comme bts(1) et dch(1), exportez les variables d’environnement « $DEBFULLNAME » et « $DEBEMAIL » afin de passer outre cette définition.

Astuce

Le paquet popularity-contest envoie normalement un courriel depuis le compte de l’administrateur avec un nom de domaine pleinement qualifié (FDQN). Vous devez définir MAILFROM dans /etc/popularity-contest.conf comme c’est décrit dans le fichier /usr/share/popularity-contest/default.conf. Sinon, votre courriel sera rejeté par le serveur SMTP sur « smarthost ». Bien que ce soit fastidieux, cette approche est plus sûre que la réécriture par le MTA de l’adresse source pour tous les courriels en provenance de l’administrateur (« root ») et devrait être utilisé pour les autres démons et les scripts des tâches planifiées (« cron ».

Lors de la définition de mailname avec la valeur donnée par « hostname -f », l’usurpation de l’adresse source du courrier par le MTA peut être réalisée par l’intermédiaire :

• du fichier « /etc/email-addresses » pour exim4(8) comme expliqué dans exim4-config_files(5)

• du fichier « /etc/postfix/generic » pour postfix(1) comme expliqué dans generic(5)

Pour postfix, les étapes suivantes sont nécessaires :

# postmap hash:/etc/postfix/generic
# postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic'
# postfix reload

Vous pouvez tester la configuration de l’adresse de courriel de la manière suivante :

• exim(8) avec les options -brw, -bf, -bF, -bV, …

• postmap(1) avec l’option -q

	Astuce
	Il existe, avec Exim, un certain nombre de programmes utilitaires tels qu’exiqgrep(8) et exipick(8). Consultez « dpkg -L exim4-base|grep man8/ » pour les commandes disponibles.

La configuration de getmail(1) est décrite dans la documentation de getmail. voici ma configuration permettant l’accès à plusieurs comptes POP3 en tant qu’utilisateur.

Créez « /usr/local/bin/getmails » comme suit :

#!/bin/sh
set -e
if [ -f $HOME/.getmail/running ]; then
  echo "getmail est déjà en fonctionnement... (dans le cas contraire, supprimer $HOME/.getmail/running)" >&2
  pgrep -l "getmai[l]"
  exit 1
else
  echo "getmail n'a pas tourné... " >&2
fi
if [ -f $HOME/.getmail/stop ]; then
  echo "ne pas lancer getmail ... (dans le cas contraire, supprimer $HOME/.getmail/stop)" >&2
  exit
fi
if [ "x$1" = "x-l" ]; then
  exit
fi
rcfiles="/usr/bin/getmail"
for fichier in $HOME/.getmail/config/* ; do
  rcfiles="$rcfiles --rcfile $fichier"
done
date -u > $HOME/.getmail/running
eval "$rcfiles $@"
rm $HOME/.getmail/running

Configurez-le comme suit :

$ sudo chmod 755 /usr/local/bin/getmails
$ mkdir -m 0700 $HOME/.getmail
$ mkdir -m 0700 $HOME/.getmail/config
$ mkdir -m 0700 $HOME/.getmail/log

Créez les fichiers de configuration « $HOME/.getmail/config/pop3_name » pour chacun des comptes POP3 comme suit :

[retriever]
type = SimplePOP3SSLRetriever
server = pop.example.com
username =  nom_pop3@example.com
password = secret

[destination]
type = MDA_external
path = /usr/bin/maildrop
unixfrom = True

[options]
verbose = 0
delete = True
delivered_to = False
message_log = ~/.getmail/log/nom_pop3.log

Configurez-le comme suit :

$ chmod 0600 $HOME/.getmail/config/*

Programmez « /usr/local/bin/getmails » pour qu’il soit lancé toutes les 15 minutes avec cron(8) en exécutant « sudo crontab -e -u <nom_utilisateur> » et en ajoutant l’entrée cron de l’utilisateur suivante :

5,20,35,50 * * * * /usr/local/bin/getmails --quiet

Astuce

Les problèmes d’accès POP3 peuvent ne pas venir de getmail. Certains services POP3 gratuits courants violent le protocole POP3 et leur filtre de SPAM peut ne pas être parfait. Par exemple, ils peuvent effacer les messages juste après la commande RETR et avant de recevoir la commande DELE et peuvent mettre en quarantaines des messages dans la boîte à lettres des Spam. Vous pourrez minimiser les dommages en les configurant de manière à archiver les messages auxquels ils ont accédé et non les supprimer. Consultez aussi « Certains courriels n’ont pas été téléchargés ».

La configuration de maildrop(1) est décrite dans la documentation de maildropfilter. Voici un exemple de configuration pour « $HOME/.mailfilter » :

# Configuration locale
MAILROOT="$HOME/Mail"
# configurer conformément au contenu de /etc/mailname
MAILHOST="example.dom"
logfile $HOME/.maildroplog

# les règles sont faites pour que la dernière valeur prenne le pas sur la précédente.

# messages de liste de diffusion ?
if (     /^Precedence:.*list/:h || /^Precedence:.*bulk/:h )
{
    # règles pour les messages de liste de diffusion
    # boîte à lettres par défaut pour les messages de liste de diffusion
    MAILBOX="Inbox-list"
    # boîte à lettres par défaut pour les messages de debian.org
    if ( /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h )
    {
        MAILBOX="service.debian.org"
    }
    # boîte à lettres par défaut pour les messages de bugs.debian.org (BTS)
    if ( /^(Sender|Resent-From|Resent-sender): .*@bugs.debian.org/:h )
    {
        MAILBOX="bugs.debian.org"
    }
    # boîte à lettres pour chaque liste de diffusion proprement configurée avec « List-Id: truc » ou « List-Id: ...<truc.bidule> »
    if ( /^List-Id: ([^<]*<)?([^<>]*)>?/:h )
    {
        MAILBOX="$MATCH2"
    }
}
else
{
    # règles pour les messages ne provenant pas de liste de diffusion
    # boîte à lettres de courrier entrant par défaut
    MAILBOX="Inbox-unusual"
    # local mails
    if ( /Envelope-to: .*@$MAILHOST/:h )
    {
        MAILBOX="Inbox-local"
    }
    # Messages en HTML (99% d'indésirables)
    if ( /DOCTYPE html/:b ||\
         /^Content-Type: text\/html/ )
    {
        MAILBOX="Inbox-html"
    }
    # règle de liste noire pour les indésirables
    if ( /^X-Advertisement/:h ||\
         /^Subject:.*BUSINESS PROPOSAL/:h ||\
         /^Subject:.*URGENT.*ASISSTANCE/:h ||\
         /^Subject: *I NEED YOUR ASSISTANCE/:h )
    {
        MAILBOX="Inbox-trash"
    }
    # règle de liste blanche pour les messages normaux
    if ( /^From: .*@debian.org/:h ||\
         /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h ||\
         /^Subject: .*(debian|bug|PATCH)/:h )
    {
        MAILBOX="Inbox"
    }
    # règle de liste blanche pour les messages relatifs au BTS
    if ( /^Subject: .*Bug#.*/:h ||\
         /^(To|Cc): .*@bugs.debian.org/:h )
    {
        MAILBOX="bugs.debian.org"
    }
    # règle de liste blanche pour les messages « getmails » de cron
    if ( /^Subject: Cron .*getmails/:h )
    {
        MAILBOX="Inbox-getmails"
    }
}

# vérifier l'existence de $MAILBOX
`test -d $MAILROOT/$MAILBOX`
if ( $RETURNCODE == 1 )
{
    # créer la boîte à lettres au format maildir pour $MAILBOX
    `maildirmake $MAILROOT/$MAILBOX`
}
# délivrer vers le répertoire maildir $MAILBOX
to "$MAILROOT/$MAILBOX/"
exit

	Avertissement
	À l’inverse de procmail, maildrop ne crée pas automatiquement les répertoires maildir manquants. Vous devez les créer vous-même à l’avance en utilisant maildirmake(1) comme cela a été fait pour « $HOME/.mailfilter » dans l’exemple.

	Avertissement
	Il ne faut pas que « /etc/ssh/sshd_not_to_be_run » soit présent si l’on souhaite faire tourner le serveur OpenSSH.

SSH possède deux protocoles d’identification :

	Attention
	Faites attention à ces différences si vous utilisez un système autre que Debian.

Consultez « /usr/share/doc/ssh/README.Debian.gz", ssh(1), sshd(8), ssh-agent(1), et ssh-keygen(1) pour davantage d’informations.

Les fichiers suivants sont les fichiers de configuration importants :

	Astuce
	Consultez ssh-keygen(1), ssh-add(1) et ssh-agent(1) pour la manière d’utiliser les clés publiques et secrètes de SSH.

	Astuce
	Assurez-vous de la validité de la configuration en testant la connexion. En cas de problème, utilisez « ssh -v ».

	Astuce
	Vous pouvez changer la phrase de passe pour chiffrer les clés secrètes SSH plus tard avec « ssh-keygen -p ».

	Astuce
	Vous pouvez ajouter des options aux entrées de « ~/.ssh/authorized_keys » afin de limiter les accès à certaines machines et les commandes autorisées. Consultez sshd(8) pour obtenir plus de renseignements.

Ce qui suit permettra de démarrer un connexion ssh(1) depuis un client :

Si vous utilisez le même nom d’utilisateur sur la machine locale et la machine distante, il n’est pas nécessaire d’entrer « nomutilisateur@ ». Même si vous utilisez un nom d’utilisateur différent sur la machine locale et la machine distante, vous pouvez l’éliminer en utilisant « ~/.ssh/config ». Pour le service Debian Alioth avec le nom de compte « toto-guest », vous devrez configurer « ~/.ssh/config » afin qu’il contienne ce qui suit :

Host alioth.debian.org svn.debian.org git.debian.org
    User toto-guest

Pour l’utilisateur, ssh(1) fonctionne comme un telnet(1) intelligent et plus sûr. À l’opposé de la commande telnet, la commande ssh ne se lance pas sur le caractère d’échappement de telnet (valeur initiale par défaut Ctrl-]).

Il existe quelques clients SSH libres disponibles pour d’autres plateformes.

Vous devez protéger le processus qui effectue « shutdown -h now » (consultez Section 1.1.8, « Comment arrêter le système ») de l’arrêt de SSH en utilisant la commande at(1) (consultez Section 9.3.13, « Planifier des tâches qui s’exécutent une fois ») comme suit :

# echo "shutdown -h now" | at now

Lancer « shutdown -h now » dans une sessionscreen(1) (consultez Section 9.1, « Le programme screen ») est une autre manière d’effectuer la même chose.