Chapitre 9. Astuces du système

Table des matières

Je décris ici les astuces de base pour configurer et gérer les systèmes, la plupart depuis la console.

9.1. Le programme screen

screen(1) est un outil très utile pour ceux qui accèdent à un site distant par l’intermédiaire d’une connexion non fiable ou intermittente car il gère les interruptions de connexion au réseau.

Tableau 9.1. Liste de programmes gérant les interruptions de connexion au réseau

paquet	popcon	taille	description
`screen`	V:76, I:287	950	multiplexeur de terminal avec une émulation de terminal VT100/ANSI

9.1.1. Scénario d’utilisation de screen(1)

screen(1) ne permet pas uniquement de faire tourner plusieurs processus dans une fenêtre de terminal, mais aussi à un processus de l’interpréteur de commandes distant de survivre à d’éventuelles interruptions de la connexion. Voici un scénario typique de screen(1) :

vous-vous connectez à une machine distante ;
vous démarrez screen sur une seule console ;
vous exécutez plusieurs programmes dans les fenêtres screen créées avec ^A c (« Ctrl-A » suivi de « c ») ;
vous passez d’une des fenêtres multiples de screen à l’autre avec ^A n (« Ctrl-A » suivi de « n ») ;
vous avez alors besoin de quitter votre terminal, mais vous ne voulez pas perdre votre travail en cours perdant la connexion.
vous pouvez détacher la session screen par différentes méthodes :
- débrancher brutalement votre connexion réseau ;
- entrer ^A d (« Ctrl-A » suivi de « d ») et en quittant manuellement la connexion distante :
- entrer ^A DD (« Ctrl-A » suivi de « DD ») pour détacher screen et vous déconnecter.
Vous vous reconnectez à la même machine distante (même depuis un autre terminal) ;
Vous lancez screen avec « screen -r » ;
screen réattache magiquement toutes les fenêtres screen précédentes avec tous les programmes qui y tournent.

	Astuce
	Avec `screen`, vous pouvez économiser des frais de connexion pour les connexions limitées, telles que les connexion commutées ou par paquets, parce que vous laissez un processus actif alors que vous êtes déconnecté. Vous pouvez le ré-attacher plus tard, lorsque vous vous reconnectez.

9.1.2. Raccourcis clavier de la commande screen

Dans une session screen, toutes les entrées clavier sont envoyées vers votre fenêtre actuelle sauf les séquences de touche de commande. Toutes les séquences de touche de commande screen sont entrées par ^A (« Ctrl-A ») suivi d’un seule touche [plus les paramètres]. Voici celles dont il est important de se souvenir.

Tableau 9.2. Liste des raccourcis clavier de screen

affectation	signification
`^A ?`	afficher l’aide de screen (afficher les raccourcis clavier)
`^A c`	créer une nouvelle fenêtre et basculer vers celle-ci
`^A n`	aller à la fenêtre suivante
`^A p`	aller à la fenêtre précédente
`^A 0`	aller à la fenêtre 0
`^A 1`	aller à la fenêtre 1
`^A w`	afficher la liste des fenêtres
`^A a`	envoyer un Ctrl-A à la fenêtre actuelle en tant qu’entrée clavier
`^A h`	écrire dans un fichier une copie de la fenêtre actuelle
`^A H`	commencer et finir l’enregistrement de la fenêtre en cours vers un fichier
`^A ^X`	verrouiller le terminal (protégé par un mot de passe)
`^A d`	détacher la session screen du terminal
`^A DD`	détacher la session screen et se déconnecter

Consultez screen(1) pour davantage d’informations.

9.2. Enregistrer et présenter des données

9.2.1. Le démon de journal

De nombreux programmes enregistrent leur activité dans le répertoire « /var/log/ ».

Démon de journal du noyau : klogd(8)
Démon de journal du système : rsyslogd(8)

Consultez Section 3.2.9, « Messages du système » et Section 3.2.10, « Messages du noyau ».

9.2.2. Analyseur de journaux

Voici les principaux analyseurs de journaux (« ~Gsecurity::log-analyzer » dans aptitude(8)).

Tableau 9.3. Liste des analyseurs de journaux système

paquet	popcon	taille	description
`logwatch`	V:22, I:25	2086	analyseur de journal avec une sortie sympathique en Perl
`fail2ban`	V:64, I:73	402	bannir les IP qui provoquent des erreurs d’authentification multiples
`analog`	V:7, I:144	3270	analyseur des journaux du serveur web
`awstats`	V:17, I:25	3039	analyseur des journaux du serveur web puissant ayant de nombreuses fonctionnalités
`sarg`	V:10, I:11	685	générateur de rapport d’analyse de squid
`pflogsumm`	V:2, I:4	133	résumer les entrées de journal de postfix
`syslog-summary`	V:1, I:10	84	résumer le contenu du fichier journal syslog
`lire`	V:0, I:0	3700	analyseur de journaux et générateur de rapports ayant de nombreuses fonctionnalités
`fwlogwatch`	V:0, I:1	440	analyseur des journaux du pare-feu
`squidview`	V:0, I:3	211	surveiller et analyser les fichiers access.log de squid
`visitors`	V:0, I:1	293	analyseur de journaux rapide pour le serveur web
`swatch`	V:0, I:1	112	visualisateur de fichier journal avec correspondance d’expressions rationnelles, mise en évidence et « hooks »
`crm114`	V:0, I:0	1066	analyseur et filtre de données diverses, dont les pourriels (CRM114)
`icmpinfo`	V:0, I:1	84	interpréter les messages ICMP

	Note
	CRM114 fournit une architecture de vocabulaire pour écrire des filtres fuzzy avec la bibliothèque d’expressions rationnelles TRE. Une de ses utilisations courantes est le filtrage des pourriels mais il peut aussi être utilisé pour l’analyse de journaux.

9.2.3. Enregistrer proprement l’activité de la console

La simple utilisation de script(1) (consultez Section 1.4.9, « Enregistrer les actions de l’interpréteur de commandes ») pour enregistrer l’activité de l’interpréteur de commandes produit un fichier avec des caractères de contrôle. Cela peut être évité en utilisant col(1) comme suit :

$ script
Script started, file is typescript

faites quelque chose… et pressez Ctrl-D pour quitter script.

$ col -bx <typescript >fichier_propre
$ vim fichier_propre

si vous n’avez pas script (par exemple pendant le processus d’amorçage dans l’initramfs), vous pouvez alors utiliser ce qui suit :

$ sh -i 2>&1 | tee typescript

	Astuce
	Certains `émulateurs de terminaux X` tels que `gnome-terminal` peuvent faire de l’enregistrement. Il faudra peut-être augmenter la taille du tampon de lignes pour le défilement vers l’arrière.

	Astuce
	Vous pouvez utiliser screen(1) avec « `^A H` » (consultez Section 9.1.2, « Raccourcis clavier de la commande screen ») pour effectuer des enregistrement de la console.

	Astuce
	Vous pouvez utiliser emacs(1) avec « `M-x shell` », « `M-x eshell` » ou « `M-x term` » pour effectuer l’enregistrement de la console. Vous pourrez ensuite utiliser « `C-x C-w` » pour enregistrer le tampon dans un fichier.

9.2.4. Affichage personnalisé des données de texte

Bien que des outils de visualisation de texte (« pager » tels que more(1) et less(1) (consultez Section 1.4.5, « Le visualisateur de fichiers ») et des outils personnalisés de mise en évidence et de formatage (consultez Section 11.1.8, « Mettre en évidence et formater des données en texte brut ») peuvent afficher des données textuelles de manière agréable, les éditeurs généralistes (consultez Section 1.4.6, « L’éditeur de texte ») sont plus souples et paramétrables.

	Astuce
	Pour vim(1) et ses alias de visualisation de texte view(1), « `:set hls` » active la recherche avec mise en évidence.

9.2.5. Affichage personnalisé de la date et de l’heure

Le format par défaut de la date et de l’heure de la commande « "ls -l » dépend des paramètres régionaux (consultez la valeur en Section 1.2.6, « Horodatage »). La variable « $LANG » est d’abord visée, elle peut être surchargée par la variable « $LC_TIME ».

Le format réel de l’affichage pour chaque paramètre linguistique dépend de la version de la bibliothèque C standard (paquet libc6) utilisée. Par exemple, les différentes versions de Debian ont des valeurs par défaut différentes.

Si vous désirez vraiment personnaliser ce format d’affichage de la date et de l’heure plus loin que ne le fait locale, vous pouvez définir la valeur de style d’heure avec le paramètre « --time-style » ou par la valeur de « $TIME_STYLE » (consultez ls(1), date(1), « info coreutils 'ls invocation' »).

Tableau 9.4. Exemples d’affichage de la date et de l’heure pour la commande « ls -l » avec wheezy

valeur de style pour l’heure	locale	affichage de la date et l’heure
`iso`	n’importe laquelle	`01-19 00:15`
`long-iso`	n’importe laquelle	`2009-01-19 00:15`
`full-iso`	n’importe laquelle	`2009-01-19 00:15:16.000000000 +0900`
`locale`	`C`	`Jan 19 00:15`
`locale`	`en_US.UTF-8`	`Jan 19 00:15`
`locale`	`es_ES.UTF-8`	`ene 19 00:15`
`+%d.%m.%y %H:%M`	n’importe laquelle	`19.01.09 00:15`
`+%d.%b.%y %H:%M`	`C` ou `en_US.UTF-8`	`19.Jan.09 00:15`
`+%d.%b.%y %H:%M`	`es_ES.UTF-8`	`19.ene.09 00:15`

	Astuce
	Vous pouvez éviter d’entrer des options longues sur la ligne de commande en utilisant les alias de commande, par exemple « `alias ls='ls --time-style=+%d.%m.%y\ %H:%M'` » (consultez Section 1.5.9, « Alias de commande »).

	Astuce
	ISO 8601 est suivie pour ces formats iso.

9.2.6. Écho colorisé de l’interpréteur de commandes

L’écho de l’interpréteur de commandes sur la plupart des terminaux peut être colorisé en utilisant le code ANSI d’échappement (consultez « /usr/share/doc/xterm/ctlseqs.txt.gz »).

Essayez, par exemple, ce qui suit :

$ ROUGE=$(printf "\x1b[31m")
$ NORMAL=$(printf "\x1b[0m")
$ INVERSE=$(printf "\x1b[7m")
$ echo "${ROUGE}TEXTE-ROUGE${NORMAL} ${INVERSE}TEXTE-INVERSE${NORMAL}"

9.2.7. Commandes colorisées

Les commandes colorisées sont pratiques pour examiner la sortie d’une commande dans l’environnement interactif. J’inclus ce qui suit dans mon fichier « ~/.bashrc ».

if [ "$TERM" != "dumb" ]; then
    eval "`dircolors -b`"
    alias ls='ls --color=always'
    alias ll='ls --color=always -l’
    alias la='ls --color=always -A'
    alias less='less -R'
    alias ls='ls --color=always'
    alias grep='grep --color=always'
    alias egrep='egrep --color=always'
    alias fgrep='fgrep --color=always'
    alias zgrep='zgrep --color=always'
else
    alias ll='ls -l’
    alias la='ls -A'
fi

L’utilisation d’alias réserve les effets de couleurs à l’utilisation interactives des commandes. Il a l’avantage sur l’exportation de la variable d’environnement « export GREP_OPTIONS='--color=auto' » car la couleur peut être affichée avec des programmes de visualisation (« pager » tels que less(1). Si vous souhaitez supprimer la couleur lors du tubage (« piping » à destination d’autres programmes, utilisez plutôt « --color=auto » dans l’exemple ci-dessus pour « ~/.bashrc ».

	Astuce
	Vous pouvez désactiver ces alias dans l’environnement interactif en appelant l’interpréteur de commandes par « `TERM=dumb bash` ».

9.2.8. Enregistrer l’activité de l’éditeur pour des répétitions complexes

Vous pouvez enregistrer l’activité de l’éditeur pour des répétitions complexes.

Pour Vim, de la manière suivante :

« qa » : démarre l’enregistrement des caractères entrés dans le registre appelé « a ».
… activité de l’éditeur
« q » : termine l’enregistrement des caractères entrés.
« @a » : exécute le contenu du registre « a ».

Pour Emacs, de la manière suivante :

« :C-x ( » : commencer la définition d’une macro clavier.
… activité de l’éditeur
« C-x ) » : terminer la définition d’une macro clavier.
« C-x e » : exécuter une macro clavier.

9.2.9. Enregistrer l’image graphique d’une application X

Il existe plusieurs manières d’enregistrer l’image graphique d’une application X, y compris un affichage xterm.

Tableau 9.5. Liste des outils de manipulation d’images

paquet	popcon	taille	commande
`xbase-clients`	I:215	62	xwd(1)
`gimp`	V:119, I:526	15404	Interface graphique du menu
`imagemagick`	V:226, I:575	382	import(1)
`scrot`	V:3, I:14	80	scrot(1)

9.2.10. Enregistrer les modifications dans des fichiers de configuration

Il existe des outils spécialisés pour enregistrer les modifications de la configuration avec l’aide du système DVCS.

Tableau 9.6. Liste de paquets pour enregistrer un historique de configuration dans VCS

paquet	popcon	taille	description
`etckeeper`	V:18, I:23	226	enregistrer les fichiers de configuration et leurs métadonnées avec Git (par défaut), Mercurial ou Bazaar (nouveau)
`changetrack`	V:0, I:1	148	enregistrer les fichiers de configuration avec RCS (ancien)

Je recommande l’utilisation avec git(1) du paquet etckeeper, il met l’ensemble de « /etc » sous le contrôle de VCS. Son guide d’installation et un tutoriel se trouvent dans « /usr/share/doc/etckeeper/README.gz ».

Essentiellement, l’exécution de « sudo etckeeper init » initialise le dépôt git pour « /etc » exactement comme le processus décrit dans Section 10.6.5, « Git pour l’enregistrement de l’historique de la configuration » mais avec quelques scripts automatiques (« hook ») permettant une configuration plus approfondie.

Alors que vous effectuez des modifications de votre configuration, vous pouvez aussi utiliser git(1) normalement pour l’enregistrer. Il enregistre parfaitement les modifications chaque fois que vous lancez des commandes de gestion de paquet.

	Astuce
	Vous pouvez parcourir l’historique des modifications de « `/etc` » en exécutant « `sudo GIT_DIR=/etc/.git gitk` » avec une vue claire des nouveaux paquets installés et les changements de version des paquets.

9.3. Surveiller, contrôler et démarrer l’activité des programmes

L’activité des programmes peut être surveillée et contrôlée à l’aide d’outils spécialisés.

Tableau 9.7. Liste des outils de surveillance et de contrôle de l’activité des programmes

paquet	popcon	taille	description
`coreutils`	V:862, I:999	13461	nice(1) : lancer un programme avec une priorité d’ordonnancement modifiée
`bsdutils`	V:810, I:999	185	renice(1) : modifier la priorité d’ordonnancement d’un programme en cours d’exécution
`procps`	V:822, I:999	651	utilitaires du système de fichiers « `/proc` » : ps(1), top(1), kill(1), watch(1), …
`psmisc`	V:645, I:963	721	utilitaires du système de fichiers « `/proc` » : killall(1), fuser(1), peekfd(1), pstree(1)
`time`	V:61, I:892	78	time(1) : lancer un programme qui indique l’utilisation des ressources du système en fonction du temps
`sysstat`	V:74, I:94	1272	sar(1), iostat(1), mpstat(1), … : outils de mesure des performances du système pour Linux
`isag`	V:0, I:7	129	Générateur interactif de graphes de l’activité système pour sysstat
`lsof`	V:415, I:927	420	lsof(8) : afficher la liste des fichiers ouverts par un processus en cours d’utilisation en utilisant l’option « `-p`
`strace`	V:31, I:206	404	strace(1) : tracer les appels système et les signaux
`ltrace`	V:2, I:29	188	ltrace(1) : tracer les appels de bibliothèque
`xtrace`	V:0, I:1	336	xtrace(1) : tracer la communication entre un client X11 et le serveur
`powertop`	V:7, I:224	629	powertop(1) : information concernant la puissance électrique utilisée sur les portables basés sur Intel
`cron`	V:859, I:998	300	faire tourner des processus en arrière plan selon un calendrier depuis le démon cron(8)
`anacron`	V:453, I:553	163	ordonnanceur de type cron pour les systèmes qui ne tournent pas 24 heures sur 24
`at`	V:510, I:894	98	at(1) ou batch(1) : lancer un travail à une heure déterminée ou en dessous d’un niveau de charge donné

	Astuce
	Le paquet `procps` fournit des fonctions très basiques de surveillance, de contrôle et de lancement des activités du programme. Vous devriez toutes les apprendre.

9.3.1. Temps d’un processus

Afficher la durée du processus indiqué dans la commande.

# time une_commande >/dev/null
real    0m0.035s       # temps horloge (temps réel écoulé)
user    0m0.000s       # temps en mode utilisateur
sys     0m0.020s       # temps en mode noyau

9.3.2. La priorité d’ordonnancement

Une valeur de politesse (« nice » est utilisée pour contrôler la priorité d’ordonnancement du processus.

Tableau 9.8. Liste des valeurs de politesse pour la priorité d’ordonnancement

valeur de politesse	priorité d’ordonnancement
19	la plus basse priorité d’un processus (poli)
0	très haute priorité de processus pour un utilisateur
-20	très haute priorité d’un processus pour root (non poli)

# nice  -19 top                                      # très poli
# nice --20 wodim -v -eject speed=2 dev=0,0 disk.img # très rapide

Parfois, une valeur extrême de politesse (« nice ») fait plus de mal que de bien au système. Utilisez cette commande avec précaution.

9.3.3. La commande ps

La commande ps(1) sous Debian comporte à la fois les fonctionnalités de BSD et de SystemV, elle aide à identifier l’activité des processus de manière statique.

Tableau 9.9. Liste des styles de la commande ps

style	commande typique	fonction
BSD	`ps aux`	afficher %CPU %MEM
System V	`ps -efH`	afficher le PPID

Les processus fils zombies (« defunct ») peuvent être tués par l’identifiant du processus parent identifié dans le champ « PPID »

La commande pstree(1) affiche une arborescence des processus.

9.3.4. La commande top

top(1) sous Debian a de riches fonctionnalités et aide à identifier de manière dynamique quels sont les processus qui ont une activité curieuse.

Tableau 9.10. Liste des commandes pour top

touche de commande	description de la réponse
`h` ou `?`	afficher l’aide
`f`	définir / réinitialiser le champ
`o`	réordonner les champ affichés
`F`	définir le champ-clé pour le tri
`k`	tuer un processus
`r`	modifier la politesse d’un processus
`q`	quitter la commande `top`.

9.3.5. Afficher les fichier ouverts par un processus

Vous pouvez afficher la liste des fichiers ouverts par un processus avec un identifiant de processus (PID), par exemple de 1 en faisant ce qui suit :

$ sudo lsof -p 1

PID=1 est habituellement le programme init.

9.3.6. Tracer l’activité d’un programme

Vous pouvez tracer l’activité d’un programme avec strace(1), ltrace(1) ou xtrace(1) pour les appels système, les appels bibliothèque ou la communication entre le serveur et le client X11.

Vous pouvez tracer les appels système de la commande ls de la manière suivante :

$ sudo strace ls

9.3.7. Identification des processus qui utilisent des fichiers ou des sockets

Vous pouvez aussi identifier les processus qui utilisent des fichiers par fuser(1), par exemple pour « /var/log/mail.log » en faisant ce qui suit :

$ sudo fuser -v /var/log/mail.log
                     UTIL.       PID ACCÈS  COMMANDE
/var/log/mail.log:   root       2946 F.... rsyslogd

Vous voyez que le fichier « /var/log/mail.log » est ouvert en écriture par la commande rsyslogd(8).

Vous pouvez aussi identifier les processus qui utilisent des sockets par fuser(1), par exemple, pour « smtp/tcp » par ce qui suit :

$ sudo fuser -v smtp/tcp
                     USER        PID ACCESS COMMAND
smtp/tcp:            Debian-exim   3379 F.... exim4

Vous savez maintenant que exim4(8) tourne sur votre système pour gérer les connexions TCP du port SMTP (25).

9.3.8. Répéter une commande avec un intervalle constant

watch(1) execute un programme de manière répétitive avec un intervalle constant tout en affichant sa sortie en plein écran.

$ watch w

Cela permet l’affichage, mis à jour toutes les deux secondes, de qui est connecté au système.

9.3.9. Répéter une commande en bouclant entre des fichiers

Il existe plusieurs manières de répéter une boucle de commande entre des fichiers correspondant à une condition, par exemple, correspondant au motif « glob » « *.ext ».

Méthode de la boucle « for» » de l’interpréteur de commandes (consultez Section 12.1.4, « Boucles de l’interpréteur de commandes ») :

for x in *.ext; do if [ -f "$x"]; then commande "$x" ; fi; done

combinaison de find(1) et de xargs(1) :

find . -type f -maxdepth 1 -name '*.ext' -print0 | xargs -0 -n 1 commande

find(1) avec l’option « -exec » avec une commande :

find . -type f -maxdepth 1 -name '*.ext' -exec commande '{}' \;

find(1) avec l’option « -exec » avec un court script de l’interpréteur :

find . -type f -maxdepth 1 -name '*.ext' -exec sh -c "commande '{}' && echo 'succès'" \;

Les exemple ci-dessus ont été écrits afin d’assurer une prise en compte correcte de noms de fichiers étranges tels que ceux qui comportent des espaces. Consultez Section 10.1.5, « Idiomes pour la sélection de fichiers » pour une utilisation avancée de find(1).

9.3.10. Lancer un programme depuis l’interface graphique

Vous pouvez définir le lancement d’un processus depuis l’interface utilisateur graphique (GUI).

Sous l’environnement de bureau GNOME, un programme peut être lancé avec les paramètres corrects par un double-clic sur l’icône de lancement, par glisser-déposer de l’icône d’un fichier sur l’icône du lanceur ou par le menu « Ouvrir avec… » que l’on obtient par un clic droit sur l’icône d’un fichier. KDE peut aussi faire la même chose.

Voici un exemple sous GNOME pour créer une icône de lanceur pour mc(1) lancé dans gnome-terminal(1).

Créez un programme exécutable « mc-term » en effectuant ce qui suit :

# cat >/usr/local/bin/mc-term <<EOF
#!/bin/sh
gnome-terminal -e "mc \$1"
EOF
# chmod 755 /usr/local/bin/mc-term

Créez un lanceur sur le bureau comme suit :

Faites un clic-droit sur le bureau et sélectionnez « ;Créer un lanceur… » ;
Définissez « Type » à « Application » ;
Définissez « Nom » à « mc » ;
Définissez « Commande » à « mc-term %f » ;
Cliquez « Valider ».

Créez une association « ouvrir avec » comme suit :

Faites un clic-droit sur le dossier pour sélectionner « Ouvrir avec une autre application … » :
Cliquer pour ouvrir fenêtre « Utiliser une commande personnalisée » et entrez « mc-term %f ».
Cliquez « Ouvrir ».

	Astuce
	Le lanceur est un fichier de « `~/Desktop` » ayant l’extension « `.desktop` ».

9.3.11. Personnaliser le programme à lancer

Certains programmes lancent automatiquement d’autres programmes. Voici des points-clés pour la personnalisation de ce processus :

Menu de configuration des applications :

bureau GNOME : « Paramètres » → « Système » → « Détails » → « Applications par défaut »
bureau KDE : « K » → « Centre de contrôle » → « Composants KDE » → « Sélection de composant »
navigateur Iceweasel : « Éditer » → « Préférences » → « Applications »
mc(1) : « /etc/mc/mc.ext »

des variables d’environnement telles que « $BROWSER », « $EDITOR », « $VISUAL » et « $PAGER » (consultez eviron(7))

le système update-alternatives(8) pour des programmes tels que « editor », « view », « x-www-browser », « gnome-www-browser » et « www-browser » (consultez Section 1.4.7, « Définir un éditeur de texte par défaut »)
le contenu des fichiers « ~/.mailcap » et « /etc/mailcap » qui associe un type MIME avec un programme (consultez mailcap(5))
le contenu des fichiers « ~/.mime.types » et « /etc/mime.types » qui associe l’extension du nom de fichier avec un type MIME (consultez run-mailcap(1))

	Astuce
	update-mime(8) met à jour le fichier ≤ `/etc/mailcap` » en utilisant le fichier « `/etc/mailcap.order` » (consultez mailcap.order(5)).

	Astuce
	Le paquet `debianutils` fournit sensible-browser(1), sensible-editor(1), et sensible-pager(1) qui prennent des décisions raisonnables concernant l’éditeur, le visualisateur, le navigateur à appeler respectivement. Je vous recommande de lire ces scripts de l’interpréteur de commandes.

	Astuce
	De façon à faire tourner une application de console telle que `mutt` sous X en tant qu’application préférée, vous devriez créer une application X comme suit et définir « `/usr/local/bin/mutt-term` » comme étant votre application préférée à lancer comme il est décrit :

# cat /usr/local/bin/mutt-term <<EOF
#!/bin/sh
gnome-terminal -e "mutt \$@"
EOF
chmod 755 /usr/local/bin/mutt-term

9.3.12. Tuer un processus

Utilisez kill(1) pour tuer (ou envoyer un signal à) un processus avec son identifiant de processus.

Utilisez killall(1) ou pkill(1) pour faire la même chose avec le nom de commande du processus et d’autres attributs.

Tableau 9.11. Liste des signaux couramment utilisés avec la commande kill

valeur du signal	nom du signal	fonction
1	HUP	redémarrer le démon
15	TERM	tuer normalement
9	KILL	tuer « dur »

9.3.13. Planifier des tâches qui s’exécutent une fois

Exécutez de la manière suivante la commande at(1) pour planifier un travail qui s’exécute une fois

$ echo 'command -args'| at 3:40 monday

9.3.14. Planifier des tâches qui s’exécutent régulièrement

Utilisez cron(8) pour planifier des tâches qui s’exécutent régulièrement. Consultez crontab(1) et crontab(5).

Vous pouvez planifier le lancement des processus en tant qu’utilisateur normal, par exemple toto en créant un fichier crontab(5) file comme « /var/spool/cron/crontabs/toto » avec la commande « crontab -e ».

Voici un exemple de fichier crontab(5).

# utilise /bin/sh pour exécuter les commandes, quoi que dise /etc/passwd
SHELL=/bin/sh
# envoie un courrier électronique à Paul contenant tous les résultats,
# quelle que soit la personne à qui appartient la crontab
MAILTO=paul
# Minute Heure JourDuMois Mois JourDeLaSemaine commande
# est exécuté à 00:05 chaque jour
5  0  *  * *   $HOME/bin/daily.job >> $HOME/tmp/out 2>&1
# est exécuté à 14:15 le 1e de chaque mois -- le résultat est envoyé à Paul
# par courrier électronique
15 14 1  * *   $HOME/bin/monthly
# est exécuté à 22:00 chaque jour de la semaine(1-5), ennuie Joe.
# % pour une nouvelle ligne, dernier % pour cc:
0 22 *   * 1-5 mail -s "Il est 10h" joe%Joe,%%Ou sont tes enfants ?%.%%
23 */2 1 2 *   echo "run 23 minutes after 0am, 2am, 4am ..., on Feb 1"
5  4 *   * sun echo "run at 04:05 every sunday"
# est exécuté à 03:40 le premier lundi de chaque mois
40 3 1-7 * *   [ "$(date +%a)" == "Mon" ] && command -args

	Astuce
	Sur un système qui ne tourne pas en permanence, installez le paquet `anacron` afin de planifier les tâches périodiques à des intervalles particulier dès que le temps de fonctionnement « uptime » de la machine le permet. Consultez anacron(8) et anacrontab(5).

	Astuce
	Vous pouvez lancer périodiquement les scripts de maintenance planifiée du système, depuis le compte de l’administrateur en les plaçant dans « `/etc/cron.hourly/` », « `/etc/cron.daily/` », « `/etc/cron.weekly/` » ou « `/etc/cron.monthly/` ». L"échéancier d’exécution de ces scripts peut être personnalisé dans « `/etc/crontab` » et « `/etc/anacrontab` ».

9.3.15. touche Alt-SysRq

Une assurance contre le mauvais fonctionnement du système est fournie par l’option de compilation du noyau « Magic SysRq key » (touche SAK) qui est maintenant une valeur par défaut pour les noyaux de Debian. Presser Alt-SysRq (NDT : Alt-Sys ou Alt-Impr écran sur un clavier français) suivi par une des touches suivantes permet de reprendre par magie le contrôle du système.

Tableau 9.12. Listes des touches de commande SAK (« Secure attention keys »)

touche suivant Alt-Sys	description de l’action
`r`	restaurer le clavier depuis le mode raw (brut) après un plantage de X
`0`	changer le niveau de journalisation de la console à 0 afin de réduire les messages d’erreurs
`k`	kill (tuer) tous les processus sur la console virtuelle actuelle
`e`	envoyer un SIGTERM à tous les processus, sauf init(8)
`i`	envoyer un SIGKILL à tous les processus, sauf init(8)
`s`	synchroniser tous les systèmes de fichiers montés
`u`	remonter en lecture seule tous les systèmes de fichiers montés (umount)
`b`	reboot (redémarrer) le système sans effectuer de synchronisation ni de démontage

La combinaison de « Alt-Sys s », « Alt-Sys u » et « Alt-Sys r » permet de se tirer de situation vraiment désastreuses.

Consultez « /usr/share/doc/linux-doc-3.*/Documentation/sysrq.txt.gz ».

	Attention
	la fonctionnalité Alt-SysRq peut être considérée comme un risque de sécurité permettant à des utilisateurs d’accéder à des fonctions ayant le privilège de l’administrateur. Placer « `echo 0 >/proc/sys/kernel/sysrq` » dans « `/etc/rc.local` » ou « `kernel.sysrq = 0` » dans « `/etc/sysctl.conf` » désactive la fonctionnalité Alt-SysRq.

	Astuce
	Depuis un terminal SSH, etc., vous pouvez utiliser la fonctionnalité Alt-SysRq en écrivant vers « `/proc/sysrq-trigger` ». Par exemple;, « `echo s > /proc/sysrq-trigger; echo u > /proc/sysrq-trigger` » depuis l’invite de l’interpréteur de commandes de l’administrateur syncs (synchronise) et umount (démonte) tous les systèmes de fichiers montés.

9.4. Astuces de maintenance du système

9.4.1. Qui se trouve sur le système ?

Vous pouvez rechercher qui se trouve sur le système par les commandes suivantes :

who(1) affiche qui est connecté.
w(1) affiche qui est connecté et ce qu’il fait.
last(1) affiche une liste des derniers utilisateurs connectés.
lastb(1) affiche une liste des utilisateurs s’étant mal connectés.

	Astuce
	« `/var/run/utmp` », « `/var/log/wtmp` » et « `/var/run/utmp` » conservent ces informations de l’utilisateur. Consultez login(1) et utmp(5).

9.4.2. Prévenir tout le monde

Vous pouvez envoyer un message à toutes les personnes connectées au système avec wall(1) en faisant ce qui suit :

$ echo "Nous allons arrêter le système dans une heure" | wall

9.4.3. Identification du matériel

Pour les périphériques similaires à PCI (AGP, PCI-Express, CardBus, ExpressCard, etc.), lspci(8) (probablement avec l’option « -nn ») est un bon point de départ pour l’identification du matériel.

Vous pouvez aussi identifier le matériel en lisant le contenu de « /proc/bus/pci/devices » ou en parcourant l’arborescence de répertoires se trouvant sous « /sys/bus/pci » (consultez Section 1.2.12, « procfs et sysfs »).

Tableau 9.13. Listes des outils d’identification du matériel

paquet	popcon	taille	description
`pciutils`	V:174, I:985	1044	utilitaires PCI de Linux : lspci(8)
`usbutils`	V:252, I:906	640	utilitaires USB de Linux : lsusb(8)
`pcmciautils`	V:90, I:213	121	utilitaires PCMCIA pour Linux : pccardctl(8)
`scsitools`	V:1, I:6	302	collection d’outils pour la gestion des périphériques SCSI : lsscsi(8)
`procinfo`	V:1, I:25	164	informations sur le système obtenues dans « `/proc` » : lsdev(8)
`lshw`	V:10, I:79	763	informations concernant la configuration matérielle : lshw(1)
`discover`	V:53, I:818	66	système d’identification du matériel : discover(8)

9.4.4. Configuration matérielle

Bien que l'essentiel de la configuration du matériel puisse être gérée au moyen des outils graphiques qui accompagnent les environnements de bureau graphiques modernes comme GNOME ou KDE, c’est une bonne idée de connaître certaines méthodes de base permettant de le configurer.

Tableau 9.14. Liste des outils de configuration du matériel

paquet	popcon	taille	description
`hal`	V:91, I:133	1495	Couche d’abstraction matérielle (HAL) : lshal(1)
`console-tools`	V:79, I:183	600	Police de la console Linux et utilitaires de table de caractères
`x11-xserver-utils`	V:390, I:620	489	utilitaires pour le serveur X : xset(1), xmodmap(1)
`acpid`	V:529, I:945	187	démon servant à gérer les événements délivrés par l’Interface avancée de configuration et de gestion de l’énergie ACPI (« Advanced Configuration and Power Interface »)
`acpi`	V:52, I:823	71	utilitaire d’affichage des informations des périphériques ACPI
`apmd`	V:3, I:57	252	démon de gestion des événements délivrés par la gestion avancée de l’alimentation APM (« Advanced Power Management »)
`sleepd`	V:0, I:0	148	démon permettant de mettre un ordinateur portable en veille lorsqu’il est inactif
`hdparm`	V:371, I:637	285	optimisation de l’accès aux disques durs (consultez Section 9.5.9, « Optimisation du disque dur »)
`smartmontools`	V:62, I:243	1611	contrôle et surveillance des systèmes de stockage en utilisant S.M.A.R.T.
`setserial`	V:7, I:18	141	collection d’outils pour gérer les ports série
`memtest86+`	V:3, I:77	2342	collection d’outils pour gérer la mémoire physique
`scsitools`	V:1, I:6	302	collection d’outils pour gérer le matériel SCSI
`tpconfig`	V:1, I:5	164	utilitaire pour configurer les pavés tactiles (touchpad)
`setcd`	V:0, I:1	28	optimisation de l’accès au lecteur de CD
`big-cursor`	I:1	68	curseurs de souris plus grands pour X

Ici, ACPI est une infrastructure de gestion de l’alimentation électrique du système plus récente qu’APM.

	Astuce
	L’ajustement de la fréquence d’horloge des processeurs modernes est gérée par des modules du noyaux tels que `acpi_cpufreq`.

9.4.5. Heure système et matérielle

Ce qui suit permet de définir l’heure du système et du matériel à MM/DD hh:mm, CCYY :

# date MMDDhhmmCCYY
# hwclock --utc --systohc
# hwclock --show

Sur un système Debian, l’heure est normalement affichée en heure locale mais l’heure système et matérielle utilisent habituellement l’heure TU(GMT).

Si l’heure matérielle (BIOS) est réglée en TU, modifiez le réglage pour « UTC=yes » dans le fichier « /etc/default/rcS ».

Si vous désirez ajuster l’heure de votre système par l’intermédiaire du réseau, vous pouvez envisager l’utilisation du service NTP avec un paquet tel que ntp, ntpdate ou chrony.

Consultez ce qui suit :

HOWTO Gérer de manière précise la date et l’heure (« Managing Accurate Date and Time HOWTO »)
Projet de services publics NTP
Le paquet ntp-doc

	Astuce
	ntptrace(8) du paquet `ntp` peut suivre la trace d’une chaîne de serveurs NTP jusqu’à la source primaire.

9.4.6. Configuration du terminal

Il existe plusieurs composants pour configurer la console en mode caractères et les fonctionnalités du système ncurses(3).

Le fichier « /etc/terminfo/*/* » (terminfo(5))
La variable d’environnement « $TERM »(term(7))
setterm(1), stty(1), tic(1) et toe(1)

Si l’entrée terminfo pour xterm ne fonctionne pas avec un xterm non Debian, changez le type de terminal dans « $TERM » de « xterm » pour une version limitée en fonctionnalités comme « xterm-r6 » lorsque vous-vous connectez à distance à un système Debian. Consultez « /usr/share/doc/libncurses5/FAQ » pour davantage d’informations. « dumb » est le plus petit dénominateur commun pour « $TERM ».

9.4.7. L’infrastructure de gestion du son

Les pilotes de périphériques des cartes sons pour les versions actuelles de Linux sont fournies par Advanced Linux Sound Architecture (ALSA). ALSA fournit un mode d’émulation du système précédent Open Sound System (OSS) pour des raisons de compatibilité.

	Astuce
	Utilisez « `cat /dev/urandom > /dev/audio` » ou speaker-test(1) pour tester les hauts-parleurs. (^C pour arrêter)

	Astuce
	Si vous n’arrivez pas à obtenir de sons, il est possible que votre haut-parleur soit connecté à une sortie muette (« muted »). Les systèmes de son modernes ont de nombreuses sorties. alsamixer(1) du paquet `alsa-utils` est pratique pour configurer les paramètres de volume et de coupure son

Les logiciels applicatifs peuvent être configurés pour non seulement accéder aux périphériques sonores directement mais aussi pour y accéder par l’intermédiaire d’un système de serveur de son.

Tableau 9.15. Liste des paquets son

paquet	popcon	taille	description
`alsa-base`	V:15, I:565	131	Fichiers de configuration du pilote ALSA
`alsa-utils`	V:394, I:567	2036	utilitaires de configuration et d’utilisation d’ALSA
`oss-compat`	V:36, I:113	47	Compatibilité OSS sous ALSA évitant les erreurs « `/dev/dsp not found` »
`jackd`	V:5, I:28	32	serveur du kit de connexion audio JACK. (JACK) (faible latence)
`libjack0`	I:56	137	bibliothèque du kit de connexion JACK. (JACK) (faible latence)
`nas`	V:0, I:1	268	serveur du système audio réseau (NAS)
`libaudio2`	V:86, I:565	175	bibliothèque du serveur audio réseau (NAS)
`pulseaudio`	V:283, I:385	4431	serveur PulseAudio, remplaçant d’ESD
`libpulse0`	V:354, I:641	800	bibliothèque du client PulseAudio, remplace ESD
`libgstreamer0.10-0`	V:285, I:608	3573	GStreamer : moteur de son de GNOME
`libxine1`	I:99	29	xine : ancien moteur de son de KDE
`libphonon4`	I:259	556	Phonon : moteur de son de KDE

Il y a habituellement un moteur de son commun pour chacun des environnements de bureau les plus courants. Chaque moteur de son utilisé par l’application peut choisir de se connecter à un serveur de son différent.

9.4.8. Désactiver l’économiseur d’écran

Pour désactiver l’écran de veille, utilisez les commandes suivantes :

Tableau 9.16. Liste des commandes pour désactiver l’économiseur d’écran

environnement	commande
Console Linux	`setterm -powersave off`
Système X Window (couper l’économiseur d’écran)	`xset s off`
X Window (désactive dpms)	`xset -dpms`
X Window (interface de configuration graphique d’économiseur d’écran)	`xscreensaver-command -prefs`

9.4.9. Désactiver les bips

On peut toujours débrancher le haut-parleur du PC pour désactiver les bips. La suppression du module du noyau pcspkr le fait pour vous.

Ce qui suit évite que le programme readline(3) utilisé parbash(1) ne bipe lors d’un « \a » (ASCII=7).

$ echo "set bell-style none">> ~/.inputrc

9.4.10. Utilisation de la mémoire

Le message de démarrage du noyau dans « /var/log/dmesg » donne exactement la taille de la mémoire disponible.

free(1) et top(1) affichent des informations concernant les ressources mémoire sur le système actif.

# grep '\] Memory' /var/log/dmesg
[    0.004000] Memory: 990528k/1016784k available (1975k kernel code, 25868k reserved, 931k data, 296k init)
$ free -k
             total       used       free     shared    buffers     cached
Mem:        997184     976928      20256          0     129592     171932
-/+ buffers/cache:     675404     321780
Swap:      4545576          4    4545572

	Astuce
	Ne vous inquiétez pas de la taille importante de « `used` » et ce la petite taille de « `free` » sur la ligne « `Mem:` », mais lisez ce qui se trouve sous celle-ci (675404 et 321780 dans l’exemple ci-dessous) et détendez-vous.

Pour mon MacBook avec 1Go=1048576k DRAM (la mémoire vidéo en prend une partie), je peux voir ce qui suit :

Tableau 9.17. Taille mémoire affichée

affiché	taille
Taille totale dans dmesg	1016784k = 1Go - 31792k
Libre dans dmesg	990528k
Total sous l’interpréteur de commandes	997184k
Libre sous l’interpréteur de commandes	20256k (mais réellement 321780k)

9.4.11. Vérification de la sécurité et de l’intégrité du système

Une mauvaise maintenance du système peut rendre votre système vulnérable à une attaque externe.

Pour la vérification de la sécurité et de l’intégrité du système, vous pouvez démarrer avec ce qui suit :

Le paquet debsums, consultez debsums(1) et Section 2.5.2, « Fichier « Release » de plus haut niveau et authenticité ».
Le paquet chkrootkit, consultez chkrootkit(1).
La familles de paquets clamav, consultez clamscan(1) et freahclam(1).
FAQ de sécurité Debian.
Manuel de sécurisation de Debian.

Tableau 9.18. Liste d’outils pour la vérification de la sécurité et de l’intégrité du système

paquet	popcon	taille	description
`logcheck`	V:18, I:23	218	démon pour poster à l’administrateur les anomalies des fichiers journaux du système
`debsums`	V:16, I:42	64	utilitaire pour vérifier les fichiers des paquets installés d’après leur somme de contrôle MD5
`chkrootkit`	V:12, I:43	920	détecteur de rootkit.
`clamav`	V:22, I:82	593	utilitaire anti-virus pour UNIX ‑ interface en ligne de commandes.
`tiger`	V:5, I:6	2245	signale les vulnérabilités du système pour la sécurité
`tripwire`	V:5, I:6	9049	vérificateur d’intégrité des fichiers et répertoires
`john`	V:4, I:17	448	outils de casse des mots de passe actifs
`aide`	V:2, I:2	1351	Environnement avancé de détection d’intrusion (« Advanced Intrusion Detection Environment ») — bibliothèque statique
`integrit`	V:0, I:0	440	programme de vérification de l’intégrité des fichiers
`crack`	V:0, I:1	160	programme pour deviner les mots de passe

Voici un script simple pour rechercher des fichiers typiques ayant des permissions incorrectes d’écriture pour tout le monde.

# find / -perm 777 -a \! -type s -a \! -type l -a \! \( -type d -a -perm 1777 \)

	Attention
	Comme le paquet `debsums` utilise des sommes de contrôle MD5 enregistrées de manière statique, on ne peut pas lui faire entièrement confiance comme outil d’audit de la sécurité envers des attaques malveillantes.

9.5. Astuces relatives au stockage des données

Démarrer votre système avec un CD autonome de Linux ou avec un CD de l’installateur debian en mode secours (rescue) vous facilite la reconfiguration de l’enregistrement des données sur votre disque de démarrage.

9.5.1. Utilisation de l’espace disque

L’utilisation de l’espace disque peut être estimée à l’aide de programmes fournis par les paquets mount, coreutils et xdu :

mount(8) indique tous les systèmes de fichiers (disques) montés.
df(1) indique l’espace disque occupé par les systèmes de fichiers.
du(1) indique l’espace disque occupé par une arborescence de répertoires.

	Astuce
	La sortie de du(1) peut être renvoyée vers xdu(1x) pour réaliser une présentation graphique et interactive avec « `du -k . \|xdu` », « `sudo du -k -x / \|xdu` », etc.

9.5.2. Configuration de la partition du disque

Bien que fdisk(8) ait été considéré comme un standard pour la configuration de la partition du disque dur, il mérite une certaine attention. « Données de partition du disque », « table de partition » et « Étiquette de disque » sont tous des synonymes.

La plupart des PC utilisent le principe de l’Enregistrement Maître de démarrage (MBR) (« Master Boot Record ») pour enregistrer les données de partition du disque sur le premier secteur, c’est-à-dire, le secteur 0 LBA (512 octets).

	Note
	Certains PC récent avec une Extensible Firmware Interface (EFI), ce qui comprend les Macs basés sur Intel, utilisent un principe de GUID Partition Table (GPT) pour enregistrer les données de partitionnement du disque ailleurs que sur le premier secteur.

Alors que fdisk(8) a été l’outil standard de partitionnement de disque, parted(8) le remplace maintenant.

Tableau 9.19. Listes de paquets de gestion de la partition du disque

paquet	popcon	taille	GPT	description
`util-linux`	V:862, I:999	1603	Non pris en charge	divers utilitaires systèmes dont fdisk(8) etcfdisk(8)
`parted`	V:16, I:147	264	Pris en charge	programme GNU de redimensionnement des partitions Parted
`gparted`	V:29, I:154	6395	Pris en charge	éditeur de partitions de GNOME basé sur `libparted`
`gdisk`	V:2, I:14	742	Pris en charge	éditeur de partitions pour disque GPT
`gptsync`	V:0, I:2	72	Pris en charge	synchronise une table de partition MBR classique avec une table GPT
`kpartx`	V:11, I:23	102	Pris en charge	programme pour créer des mappages de périphériques pour les partitions

	Attention
	Bien que parted(8) prétend pouvoir créer et redimensionner aussi les systèmes de fichiers, il est plus sûr de toucher à ces choses-là en utilisant des outils spécialisés et bien maintenus tels que mkfs(8) (mkfs.msdos(8), mkfs.ext2(8), mkfs.ext3(8), mkfs.ext4(8), …) et resize2fs(8).

	Note
	De manière à passer de GPT à MBR, il vous faut d’abord effacer les premiers blocs du disque directement (consultez Section 9.7.6, « Effacer le contenu d’un fichier ») et utiliser « `parted /dev/sdx mklabel gpt` » ou « `parted /dev/sdx mklabel msdos` » afin de le mettre en place. Vous remarquerez que « `msdos` » est utilisé ici pour MBR.

9.5.3. Accès à une partition en utilisant l’UUID

Bien que la reconfiguration de votre partition ou l’ordre d’activation des supports d’enregistrement amovibles puisse conduire à des noms de partitions différents, vous pouvez y accéder de manière homogène. Cela vous aidera aussi si vous avez plusieurs disques et que votre BIOS ne leur donne pas toujours le même nom de périphérique.

mount(8) avec l’option « -U » peut monter un périphérique en mode bloc en utilisant l’UUID plutôt que son nom de fichier de périphérique comme « /dev/sda3 ».
« /etc/fstab » (consultez fstab(5)) peut utiliser l’UUID.
Les chargeurs initiaux (Section 3.1.2, « Étage 2 : le chargeur initial ») peuvent aussi utiliser UUID.

	Astuce
	Vous pouvez tester l’UUID d’un périphérique spécial en mode bloc avec blkid(8).

	Astuce
	Les nœuds de périphériques comme les supports d’enregistrement amovibles peuvent être rendus statiques en utilisant, si besoin, des règles udev. Consultez Section 3.3, « Le système udev ».

9.5.4. LVM2

LVM2 est un gestionnaire de volume logique pour le noyau Linux. Avec LVM2, les partitions peuvent être créées sur des volumes logiques plutôt que sur des disques durs physiques.

LVM requiert ce qui suit :

le support « device-mapper » dans le noyau Linux (présent par défaut sur les noyaux Debian)
La bibliothèque de support du « device-mapper » en espace utilisateur (du paquet libdevmapper*)
le paquet des outils LVM2 en espace utilisateur (lvm2)

Démarrez l’apprentissage de LVM2 par la lecture des pages de manuel suivantes :

lvm(8): les bases du mécanisme de LVM2 (liste de toutes les commandes LVM2)
lvm.conf(5): le fichier de configuration pour LVM2
lvs(8): information sur les rapports relatifs aux volumes logiques
vgs(8): information sur les rapports relatifs aux groupes de volumes
pvs(8): information sur les rapports relatifs aux volumes physiques.

9.5.5. Configuration de systèmes de fichiers

Pour le système de fichiers ext4, le paquet e2fsprogs fournit les éléments suivants :

mkfs.ext4(8) pour créer un nouveau système de fichiers ext4
fsck.ext4(8) pour vérifier et réparer un système de fichiers ext4 existant
tune2fs(8) pour configurer le superbloc d’un système de fichiers ext4

Les commandes mkfs(8) et fsck(8) font partie du paquet e2fsprogs en tant que frontal à de nombreux programmes dépendant du système de fichiers (mkfs.fstype etfsck.fstype). Pour le système de fichiers ext4, il y a mkfs.ext4(8) et fsck.ext4(8) (ils sont liés par un lien physique à mke2fs(8) ete2fsck(8)).

Des commandes semblables sont disponibles pour chaque système de fichiers pris en charge par Linux.

Tableau 9.20. Liste des paquets de gestion des systèmes de fichiers

paquet	popcon	taille	description
`e2fsprogs`	V:590, I:999	2222	utilitaires pour les systèmes de fichiers ext2/ext3/ext4
`reiserfsprogs`	V:7, I:32	1200	utilitaire pour le système de fichiers Reiserfs
`dosfstools`	V:56, I:587	177	utilitaire pour le système de fichiers FAT (Microsoft :MS-DOS, Windows)
`xfsprogs`	V:20, I:74	3079	utilitaire pour le système de fichiers XFS (SGI : IRIX)
`ntfs-3g`	V:224, I:570	1385	utilitaire pour le système de fichiers NTFS (Microsoft : Windows NT, …)
`jfsutils`	V:3, I:17	1031	utilitaire pour le système de fichiers JFS (IBM : AIX, OS/2)
`reiser4progs`	V:0, I:5	1296	utilitaire pour le système de fichiers Reiser4
`hfsprogs`	V:0, I:8	274	utilitaire pour les systèmes de fichiers HFS et HFS Plus (Apple : Mac OS)
`btrfs-tools`	V:12, I:24	2626	utilitaire pour le système de fichiers Btrfs
`zerofree`	V:1, I:12	14	programme pour mettre à zéro les blocs libres des systèmes de fichiers ext2, ext3 et ext4

	Astuce
	Le système de fichiers ext4 est le système de fichiers par défaut pour les systèmes Linux. Son utilisation est fortement recommandée, sauf cas spécifiques.

	Astuce
	Le système de fichiers Btrfs est disponible dans le noyau Linux 3.2 (Debian `Wheezy`). Il devrait devenir le prochain système de fichiers par défaut après ext4.

	Avertissement
	Vous ne devriez pas encore utiliser le système de fichiers Btrfs pour vos données essentielles avant que la fonctionnalité fsck(8) n’atteigne l’espace dynamique du noyau et qu’il soit pris en charge par le chargeur d’amorçage.

	Astuce
	Certains outils permettent l’accès au système de fichiers sans prise en charge par le noyau Linux (consultez Section 9.7.2, « Manipulation des fichiers sans monter le disque »).

9.5.6. Création et vérification de l’intégrité d’un système de fichiers

La commande mkfs(8) permet de créer un système de fichiers sur un système Linux. La commande fsck(8) permet de vérifier l’intégrité du système de fichiers et de le réparer sur un système Linux.

	Attention
	En général, il n’est pas sûr de faire tourner `fsck` sur un système de fichiers monté.

	Astuce
	Vous trouverez les résultats de la commande fsck(8) lancée depuis le script de démarrage dans « `/var/log/fsck/` ».

	Astuce
	Utilisez « `shutdown -F -r now` » pour forcer l’exécution sûre de la commande fsck(8) sur tous les systèmes de fichiers, y compris le système de fichiers racine lors du redémarrage. Consultez la page de manuel shutdown(8) pour davantage d’informations.

9.5.7. Optimisation du système de fichiers à l’aide des options de montage

La configuration statique de base du système de fichiers est donnée par « /etc/fstab ». Par exemple,

# <système fic> <point montage> <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
UUID=709cbe4c-80c1-56db-8ab1-dbce3146d2f7 / ext4 noatime,errors=remount-ro 0 1
UUID=817bae6b-45d2-5aca-4d2a-1267ab46ac23 none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0

	Astuce
	Un UUID (consultez Section 9.5.3, « Accès à une partition en utilisant l’UUID ») peut être utilisé pour identifier un périphérique bloc au lieu des noms de périphériques blocs normaux comme « `/dev/sda1` » ou « `/dev/sda2` » par exemple.

Les performances et les caractéristiques d’un système de fichiers peuvent être optimisées à l’aide des options de montage utilisées (consultez fstab(5) et mount(8)). Les principales options sont les suivantes :

l’option « defaults » implique les options par défaut : « rw,suid,dev,exec,auto,nouser,async » (général) ;
les options « noatime » ou « relatime » sont très efficace pour accélérer la vitesse de lecture (général) ;
l’option « user » permet à un utilisateur normal de monter le système de fichiers. Cette option implique la combinaison d’options « noexec,nosuid,nodev » (général, utilisée pour les CD et les disquettes) ;
la combinaison d’options « noexec,nodev,nosuid » est utilisée pour améliorer la sécurité (général) ;
l’option « noauto » limite le montage uniquement à une opération explicite (général) ;
l’option « data=journal » pour ext3fs peut améliorer l’intégrité des données lors d’une panne de courant, elle s’accompagne d’une légère baisse de la vitesse d’écriture.

Astuce

Vous devez donner au noyau le paramètre de démarrage (consultez Section 3.1.2, « Étage 2 : le chargeur initial »), par exemple « rootflags=data=journal » afin de mettre en œuvre pour le système de fichiers racine un mode de journalisation autre que celui par défaut. Pour lenny, le mode de journalisation par défaut est « rootflags=data=ordered ». Pour squeeze, il s’agit de « rootflags=data=writeback ».

9.5.8. Optimisation du système de fichiers à l’aide du superbloc

Les caractéristiques du système de fichiers peuvent être optimisées par l’intermédiaire de son superbloc en utilisant la commande tune2fs(8).

L’exécution de « sudo tune2fs -l /dev/hda1 » affiche le contenu du superbloc du système de fichiers situé sur « /dev/hda1 ».

L’exécution de « sudo tune2fs -c 50 /dev/hda1 » modifie la fréquence des vérifications du système de fichiers (exécution de fsck lors du démarrage) à 50 démarrages sur « /dev/hda1 ».

L’exécution de la commande « sudo tune2fs -j /dev/hda1 » ajoute la possibilité de journalisation au système de fichiers, c’est-à-dire la conversion de système de fichiers de ext2 vers ext3 sur « /dev/hda1 » (effectuez cela sur un système de fichiers non monté).
L’exécution de « sudo tune2fs -O extents,uninit_bg,dir_index /dev/hda1 && fsck -pf /dev/hda1 » le convertit de ext3 vers ext4 sur « /dev/hda1 ». (À effectuer sur un système de fichiers non monté).

	Avertissement
	La conversion du système de fichiers du périphérique de démarrage vers le système de fichiers ext4 doit être évitée jusqu’à ce que le système d’amorçage GRUB prenne correctement en charge le système de fichiers ext4 et que la version de noyau installée soit plus récente que 2.6.30.

	Astuce
	En dépit de son nom, tune2fs(8) ne fonctionne pas uniquement sur le système de fichiers ext2 mais aussi sur les systèmes de fichiers ext3 et ext4.

9.5.9. Optimisation du disque dur

	Avertissement
	Veuillez vérifier votre matériel et lire la page de manuel hdparam(8) avant de jouer avec la configuration de vos disques durs parce que ce peut être assez dangereux pour l’intégrité des données.

Vous pouvez tester la vitesse de lecture d’un disque dur, par exemple « /dev/hda » par « hdparm -tT /dev/hda ». Vous pouvez accélérer certains disques (E)IDE avec « hdparm -q -c3 -d1 -u1 -m16 /dev/hda » en activant la prise en charge des E/S 32 bits (« (E)IDE 32-bit I/O support »), en positionnant l’indicateur d’utilisation de dma « using_dma flag », en positionnant l’indicateur de démasquage des interruptions (« interrupt-unmask flag ») et en positionnant les E/S multiples sur 15 secteurs (« multiple 16 sector I/O ») (dangereux !).

Vous pouvez tester la fonctionnalité de cache d’un disque dur, par exemple « /dev/sda » par « hdparm -W /dev/sda ». Vous pouvez désactiver le cache en écriture avec « hdparm -W 0 /dev/sda ».

Vous pouvez réussir à lire un CD-ROM vraiment mal pressé sur un lecteur de CD-ROM moderne rapide en le ralentissant avec « setcd -x 2 ».

9.5.10. Optimisation du SSD

Les performances et l’usure du solid-state drive (SSD) peuvent être optimisées comme suit.

Utiliser le dernier noyau (>= 3.2).
Réduire les écritures sur le disque pour les accès en lecture.
- Définir les options de montage « noatime » ou « relatime » dans /etc/fstab.
Activer la commande TRIM.
- Définir l’option de montage « discard » dans /etc/fstab pour les systèmes de fichiers ext4 et Btrfs, les partitions de swap, etc. Consultez fstab(5).
- Définir l’option « discard » dans /etc/lvm/lvm.conf pour LVM. Consultez lvm.conf(5).
- Définir l’option « discard » dans /etc/crypttab pour dm-crypt. Consultez crypttab(5).
Activer le schéma d’allocation d’espace disque optimisé pour SSD.
- Définir l’option de montage « ssd » dans /etc/fstab pour Brtfs.
Vider les données sur le disque toutes les dix minutes pour les ordinateurs portables.
- Définir l’option de montage « commit=600 » dans /etc/fstab. Consultez fstab(5).
- Configurer pm-utils pour utiliser laptop-mode même sous tension. Consultez le bogue Debian nº 659260.

	Avertissement
	Modifier l’intervalle de vidage de données à dix minutes, au lieu de la valeur par défaut de cinq secondes, peut rendre les données vulnérables aux coupures de courant.

9.5.11. Utiliser SMART pour prédire les défaillances des disques durs

Vous pouvez surveiller et enregistrer les disques durs conformes à SMART à l’aide du démon smartd(8).

Activez la fonctionnalité SMART dans le BIOS.
Installez le paquet smartmontools.
Identifiez vos disques durs en en affichant la liste avec df(1).
- Supposons que le disque dur à surveiller soit « /dev/hda ».
Contrôlez la sortie de « smartctl -a /dev/hda » pour voir si la fonctionnalité SMART est effectivement activée.
- Si elle ne l’est pas, activez-la avec « smartctl -s on -a /dev/hda ».
Autorisez le fonctionnement du démon smartd(8) par l’action suivante :
- décommentez « start_smartd=yes » dans le fichier « /etc/default/smartmontools » ;
- relancez le démon smartd(8) avec « sudo /etc/init.d/smartmontools restart ».

	Astuce
	Le démon smartd(8) peut être personnalisé par l’intermédiaire du fichier `/etc/smartd.conf` y compris pour la manière d’être informé des avertissements.

9.5.12. Indication du répertoire de stockage temporaire à l’aide de $TMPDIR

Les applications créent normalement des fichiers temporaires dans le répertoire de stockage temporaire « /tmp ». Si « /tmp » ne fournit pas assez d’espace, vous pouvez indiquer un autre répertoire de stockage temporaire à l’aide de la variable $TMPDIR pour les programmes qui l’intègrent.

9.5.13. Étendre l’espace de stockage utile à l’aide de LVM

Les partitions créées sur le gestionnaire de volumes logiques (LVM) (« Logical Volume Manager ») (fonctionnalité de Linux) au moment de l’installation peuvent être facilement redimensionnées en y concaténant des extensions (« extents ») ou en en tronquant les extensions sur plusieurs périphériques de stockage sans reconfiguration majeure du système.

9.5.14. Extension de l’espace de stockage en montant une autre partition

Si vous avez une partition vide (par exemple « /dev/sdx »), vous pouvez la formater avec mkfs.ext4(1) et la monter (« mount(8) ») sur un répertoire où vous avez besoin de davantage d’espace (vous devrez copier les données d’origine).

$ sudo mv répertoire-travail ancien-répertoire
$ sudo mkfs.ext4 /dev/sdx
$ sudo mount -t ext4 /dev/sdx répertoire-travail
$ sudo cp -a ancien-répertoire/* répertoire-travail
$ sudo rm -rf ancien-répertoire

	Astuce
	Vous pouvez aussi monter un fichier image de disque vide (consultez Section 9.6.5, « Réaliser le fichier image d’un disque vide ») en tant que périphérique de rebouclage (consultez Section 9.6.3, « Monter le fichier image du disque »). L’utilisation réelle du disque croît avec les données réellement enregistrées.

9.5.15. Extension de l’espace de stockage en remontant un autre répertoire

Si vous avez un répertoire vide (par exemple, « /chemin/vers/répertoire-temporaire ») sur une autre partition avec de l’espace disponible, vous pouvez le remonter avec l’option « --bind » vers un répertoire (par exemple « répertoire-travail ») où vous avez besoin de place.

$ sudo mount --bind /chemin/vers/répertoire-temporaire répertoire-travail

9.5.16. Extension de l’espace utilisable à l’aide de liens symboliques

	Astuce
	Cette méthode est obsolète. Utilisez plutôt Section 9.5.15, « Extension de l’espace de stockage en remontant un autre répertoire » si possible.

Si vous avez un répertoire vide (par exemple, « /chemin/vers/répertoire-temporaire ») sur une autre partition avec de l’espace disponible, vous pouvez créer un lien symbolique vers ce répertoire avec ln(8).

$ sudo mv répertoire-travail ancien-répertoire
$ sudo mkdir -p /chemin/vers/répertoire-temporaire
$ sudo ln -sf /chemin/vers/répertoire-temporaire répertoire-travail 
$ sudo cp -a ancien-répertoire/* répertoire-travail 
$ sudo rm -rf ancien-répertoire

	Avertissement
	N’utilisez pas de « liens symboliques vers un répertoire » pour un répertoire géré par le système comme par exemple « `/opt` ». De tels liens symboliques peuvent être écrasés lors de la mise à niveau du système.

	Attention
	Certains logiciels peuvent ne pas bien fonctionner avec des « liens symboliques vers un répertoire ».

9.5.17. Extension de l’espace utilisable à l’aide de aufs

Si vous avez de l’espace disponible sur une autre partition (par exemple « /chemin/vers/ »), vous pouvez y créer un répertoire et l’ajouter au répertoire où vous avez besoin de place avec aufs.

$ sudo mv répertoire-travail ancien-répertoire
$ sudo mkdir répertoire-travail
$ sudo mkdir -p /chemin/vers/répertoire/temporaire
$ sudo mount -t aufs -o br:/chemin/vers/répertoire/temporaire:ancien-répertoire none répertoire-travail

	Attention
	L’utilisation de aufs pour le stockage de données à long terme n’est pas une bonne idée car il est en cours de développement et les modifications de sa conception peuvent poser des problèmes.

	Astuce
	De manière à pouvoir utiliser aufs, il faut installer son paquet utilitaire `aufs-tools` et le paquet des modules du noyau pour aufs comme `aufs-modules-2.6-amd64`.

	Astuce
	aufs est utilisé pour fournir un système de fichiers où l’administrateur peut écrire par de nombreux projets de live CD.

9.6. Le fichier image du disque

Nous discutons ici des manipulations sur l’image disque.

9.6.1. Créer le fichier image du disque

Le fichier image du disque, « disk.img » d’un périphérique non monté, par exemple, le second périphérique SCSI « /dev/sdb » peut être créé en utilisant cp(1) ou dd(1) comme suit :

# cp /dev/sdb disque.img
# dd if=/dev/sdb of=disque.img

L’image disque du master boot record (MBR) (secteur principal d’amorçage) (consultez Section 9.5.2, « Configuration de la partition du disque ») qui se trouve sur le premier secteur du disque primaire IDE peut être faite en utilisant dd(1) comme suit :

# dd if=/dev/hda of=mbr.img bs=512 count=1
# dd if=/dev/hda of=mbr-nopart.img bs=446 count=1
# dd if=/dev/hda of=mbr-part.img skip=446 bs=1 count=66

« mbr.img » : MBR avec la table des partitions
« mbr-nopart.img » : MBR sans la table des partitions
« part.img » : table de partition du MBR seul

Si vous avez un périphérique SCSI (y compris les nouveaux disques de type serial ATA) comme disque d’amorçage, remplacez « /dev/hda » avec « /dev/sda ».

Si vous réalisez une image d’une partition du disque d’origine, remplacez « /dev/hda » par « /dev/hda1 », etc.

9.6.2. Écrire directement sur le disque

Le fichier image du disque « disk.img » peut être écrit vers un disque non monté, par exemple le second disque SCSI « /dev/sdb » avec la taille correspondante par ce qui suit :

# dd if=disk.img of=/dev/sdb

De la même manière, le fichier image de la partition du disque, « partition.img » peut être écrit sur une partition non montée, par exemple, la première partition du second disque SCSI « /dev/sdb1 » avec la taille correspondante comme suit :

# dd if=partition.img of=/dev/sdb1

9.6.3. Monter le fichier image du disque

L’image disque « partition.img », qui contient une partition image unique, peut être monté et démonté en utilisant le périphérique de rebouclage (loop device) de la manière suivante :

# losetup -v -f partition.img
Loop device is /dev/loop0
# mkdir -p /mnt/loop0
# mount -t auto /dev/loop0 /mnt/loop0
...hack...hack...hack
# umount /dev/loop0
# losetup -d /dev/loop0

Cela peut être simplifié de la manière suivante :

# mkdir -p /mnt/loop0
# mount -t auto -o loop partition.img /mnt/loop0
...hack...hack...hack
# umount partition.img

Chaque partition de l’image disque « disk.img » contenant plusieurs partitions peut être montée en utilisant le périphérique de rebouclage (loop device). Étant donné que le périphérique de rebouclage ne gère pas, par défaut, les partitions, il faut le réinitialiser de la manière suivante :

# modinfo -p loop # verify kernel capability
max_part:Maximum number of partitions per loop device
max_loop:Maximum number of loop devices
# losetup -a # verify nothing using the loop device
# rmmod loop
# modprobe loop max_part=16

Maintenant, le périphérique de rebouclage peut gérer jusqu’à 16 partitions.

# losetup -v -f disk.img
Loop device is /dev/loop0
# fdisk -l /dev/loop0

Disk /dev/loop0: 5368 MB, 5368709120 bytes
255 heads, 63 sectors/track, 652 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x452b6464

      Device Boot      Start         End      Blocks   Id  System
/dev/loop0p1               1         600     4819468+  83  Linux
/dev/loop0p2             601         652      417690   83  Linux
# mkdir -p /mnt/loop0p1
# mount -t ext4 /dev/loop0p1 /mnt/loop0p1
# mkdir -p /mnt/loop0p2
# mount -t ext4 /dev/loop0p2 /mnt/loop0p2
...hack...hack...hack
# umount /dev/loop0p1
# umount /dev/loop0p2
# losetup -d /dev/loop0

En remplacement, des effets similaires peuvent être obtenus en utilisant les périphériques device mapper créés par kpartx(8) du paquet kpartx de la manière suivante :

# kpartx -a -v disk.img
...
# mkdir -p /mnt/loop0p2
# mount -t ext4 /dev/mapper/loop0p2 /mnt/loop0p2
...
...hack...hack...hack
# umount /dev/mapper/loop0p2
...
# kpartx -d /mnt/loop0

	Note
	Vous pouvez monter une partition unique d’une telle image de disque avec le périphérique de rebouclage en utilisant un décalage pour sauter le MBR ou autre. Mais c’est susceptible d’induire des erreurs.

9.6.4. Nettoyage d’un fichier image du disque

Un fichier image disque « disk.img » peut être nettoyé de tous les fichiers supprimés pour donner une image propre « new.img » de la manière suivante :

# mkdir old; mkdir new
# mount -t auto -o loop disk.img old
# dd bs=1 count=0 if=/dev/zero of=new.img seek=5G
# mount -t auto -o loop new.img new
# cd old
# cp -a --sparse=always ./ ../new/
# cd ..
# umount new.img
# umount disk.img

Si « disk.img » est un système de fichiers ext2, ext3 ou ext4, vous pouvez aussi utiliser zerofree(8) du paquet zerofree de la manière suivante :

# losetup -f -v disk.img
Loop device is /dev/loop3
# zerofree /dev/loop3
# cp --sparse=always disk.img new.img

9.6.5. Réaliser le fichier image d’un disque vide

Le fichier image du disque vide « disk.img », qui pourra s’étendre jusqu’à 5Gio peut être fait en utilisant dd(1) comme suit :

$ dd bs=1 count=0 if=/dev/zero of=disk.img seek=5G

Vous pouvez créer un système de fichiers ext4 sur cette image disque « disk.img » en utilisant le périphérique de rebouclage (loop device) de la manière suivante :

# losetup -f -v disk.img
Loop device is /dev/loop1
# mkfs.ext4 /dev/loop1
...hack...hack...hack
# losetup -d /dev/loop1
$ du  --apparent-size -h disk.img
5.0G  disk.img
$ du -h disk.img
83M disk.img

Pour « disk.img », sa taille de fichier est de 5.0 Gio et son utilisation disque est uniquement de 83Mio. Cette discordance est possible car ext4 sait maintenir un fichier creux (sparse).

	Astuce
	L’utilisation réelle sur le disque du fichier creux croît au fur et à mesure qu’on y écrit des données .

En utilisant des opérations similaires sur les périphériques créés par loop device ou les périphériques device mapper comme dans Section 9.6.3, « Monter le fichier image du disque », vous pouvez partitionner cette image disque « disk.img » en utilisant parted(8) ou fdisk(8), et y créer un système de fichiers en utilisant mkfs.ext4(8), mkswap(8), etc.

9.6.6. Créer un fichier image ISO9660

On peut faire le fichier image ISO9660, « cd.iso », depuis l’arborescence de répertoire source située à « répertoire_source », en utilisant genisoimage(1) fourni parcdrkit de la manière suivante :

#  genisoimage -r -J -T -V volume_id -o cd.iso répertoire_source

De la même manière, on peut créer le fichier image ISO9660 amorçable « cdboot.iso » depuis une arborescence comme celle de debian-installer située en « source_directory », de la manière suivante :

#  genisoimage -r -o cdboot.iso -V volume_id \
   -b isolinux/isolinux.bin -c isolinux/boot.cat \
   -no-emul-boot -boot-load-size 4 -boot-info-table répertoire_source

Ici, le chargeur d’amorçage Isolinux (consultez Section 3.1.2, « Étage 2 : le chargeur initial ») est utilisé pour l’amorçage.

Vous pouvez calculer la valeur de la somme md5 (md5sum) et construire des image ISO9660 directement depuis un lecteur de CD-ROM de la manière suivante :

$ isoinfo -d -i /dev/cdrom
CD-ROM is in ISO 9660 format
...
Logical block size is: 2048
Volume size is: 23150592
...
# dd if=/dev/cdrom bs=2048 count=23150592 conv=notrunc,noerror | md5sum
# dd if=/dev/cdrom bs=2048 count=23150592 conv=notrunc,noerror > cd.iso

	Avertissement
	Vous devrez prendre garde d’éviter le bogue de lecture anticipée du système de fichiers ISO9660 de Linux comme ci-dessus afin d’obtenir les résultats corrects.

9.6.7. Écriture directe sur CD/DVD-R/RW

	Astuce
	Un DVD n’est qu’un gros CD pour wodim(1) qui est fourni par cdrkit.

Vous pouvez rechercher un périphérique utilisable comme suit :

# wodim --devices

Le CD-R vierge est alors inséré dans le graveur de CD et le fichier image ISO9660 « cd.iso » est écrit vers le périphérique, par exemple; « /dev/hda » en utilisant wodim(1) de la manière suivante :

# wodim -v -eject dev=/dev/hda cd.iso

Si un CD-RW est utilisé à la place d’un CD-R, faites alors ce qui suit :

# wodim -v -eject blank=fast dev=/dev/hda cd.iso

	Astuce
	Si votre système de bureau monte automatiquement les CD, démontez-le par la commande « `sudo unmount /dev/hda` » avant d’utiliser wodim(1).

9.6.8. Monter le fichier image ISO9660

Si « cd.iso » contient une image ISO9660, ce qui suit permet alors de le monter manuellement sur « /cdrom » :

# mount -t iso9660 -o ro,loop cd.iso /cdrom

	Astuce
	Les systèmes de bureau modernes montent automatiquement les supports amovibles (consultez Section 10.1.7, « Périphériques d’enregistrement amovibles »).

9.7. Les données binaires

Nous allons ici discuter de la manipulation directe des données binaires sur le support d’enregistrement.

9.7.1. Afficher et éditer des données binaires

La méthode la plus basique pour visualiser des données binaires est d’utiliser la commande « od -t x1 ».

Tableau 9.21. Liste des paquets permettant de visualiser et d’éditer des données binaires

paquet	popcon	taille	description
`coreutils`	V:862, I:999	13461	paquet de base utilisant od(1) pour vider des fichiers (HEX, ASCII, OCTAL, …)
`bsdmainutils`	V:841, I:999	562	paquets utilitaires qui utilisent hd(1) pour vider les fichiers (HEX, ASCII, OCTAL, …)
`hexedit`	V:2, I:14	85	éditeurs et visualisateurs binaires (HEX, ASCII)
`bless`	V:0, I:4	991	éditeur hexadécimal complet (GNOME)
`okteta`	V:4, I:37	487	éditeur hexadécimal complet (KDE4)
`ncurses-hexedit`	V:0, I:3	152	éditeur et visualisateur binaire (HEX, ASCII, EBCDIC)
`beav`	V:0, I:1	164	éditeur et visualisateur binaire (HEX, ASCII, EBCDIC, OCTAL, …)

Astuce

HEX est utilisé comme l'acronyme du format hexadécimal en base 16. OCTAL désigne le format octal en base 8. ASCII est employé pour Code américain standard pour l’échange d’informations (« American Standard Code for Information Interchange ») c’est-à-dire le code pour texte normal en anglais. EBCDIC signifie Code d’échange étendu décimal codé binaire (« Extended Binary Coded Decimal Interchange Code »), il est utilisé avec par les systèmes d’exploitation des mainframe IBM.

9.7.2. Manipulation des fichiers sans monter le disque

Il existe des outils permettant de lire et d’écrire des fichiers sans avoir à monter le disque.

Tableau 9.22. Liste des paquets pour manipuler les fichiers sans monter le disque

paquet	popcon	taille	description
`mtools`	V:27, I:271	342	utilitaires pour les fichiers MSDOS sans les monter
`hfsutils`	V:1, I:14	181	utilitaires pour les fichiers HFS et HFS+ sans les monter

9.7.3. Redondance des données

Les systèmes s’appuyant sur le RAID logiciel offert par le noyau Linux permettent une redondance des données au niveau du système de fichiers du noyau afin d’obtenir un haut niveau de fiabilité du système de stockage.

Il existe aussi des outils pour ajouter des données de redondance aux fichiers au niveau du programme applicatif permettant d’obtenir de hauts niveaux de fiabilité de stockage.

Tableau 9.23. Liste d’outils pour ajouter des données de redondance aux fichiers

paquet	popcon	taille	description
`par2`	V:4, I:14	272	Parity Archive Volume Set, pour vérifier et réparer des fichiers
`dvdisaster`	V:0, I:4	1481	protection des supports CD et DVD contre les pertes de données, les rayures et le vieillissement
`dvbackup`	V:0, I:0	392	outil de sauvegarde utilisant des caméscopes MiniDV (fournissant rsbep(1))
`vdmfec`	V:0, I:0	88	récupération de blocs en utilisant une correction d’erreur vers l’avant (« Forward Error Correction »)

9.7.4. Récupération de fichiers de données et analyse par autopsie

Il y a des outils pour la récupération des données et l’analyse par autopsie.

Tableau 9.24. Liste de paquets pour la récupération de données et l’analyse par autopsie

paquet	popcon	taille	description
`testdisk`	V:4, I:38	1235	utilitaires pour l’examen de partitions et la récupération de disque
`magicrescue`	V:0, I:3	344	utilitaire pour la récupération de fichiers et de recherche des octets magiques
`scalpel`	V:0, I:3	124	récupérateur de fichiers sobre de haute performance
`myrescue`	V:0, I:1	84	récupérer des données depuis des disques endommagés
`recover`	V:0, I:4	104	utilitaire pour récupérer des fichiers effacés d’un système de fichiers ext2
`e2undel`	V:0, I:2	244	utilitaire pour récupérer des fichiers effacés d’un système de fichiers ext2
`extundelete`	V:0, I:5	153	utilitaire pour récupérer des fichiers effacés d’un système de fichiers ext3/4
`ext4magic`	V:0, I:1	253	utilitaire pour récupérer des fichiers effacés d’un système de fichiers ext3/4
`ext3grep`	V:0, I:3	286	outil pour aider à la récupération de fichiers effacés sur un système de fichiers ext3
`scrounge-ntfs`	V:0, I:3	80	programme de récupération de données pour les systèmes de fichiers NTFS
`gzrt`	V:0, I:0	57	boîte à outils de récupération gzip
`sleuthkit`	V:0, I:4	750	outil pour autopsie (« forensics analysis« ». (Sleuthkit)
`autopsy`	V:0, I:2	1372	interface graphique à SleuthKit
`foremost`	V:1, I:8	83	application d’autopsie pour la récupération de données
`guymager`	V:0, I:0	949	outil de création d’image d’autopsie basée sur Qt
`dcfldd`	V:0, I:3	109	version améliorée de `dd` pour les autopsies et la sécurité
`rdd`	V:0, I:0	200	programme de copie pour autopsie

9.7.5. Éclater un gros fichier en petits fichiers

Lorsque les données ont un volume trop important pour pouvoir être sauvegardée dans un seul fichier, vous pouvez en sauvegarder le contenu après l’avoir éclaté en morceaux de, par exemple, 2000Mio et réassembler ces morceaux par la suite sous la forme du fichier d’origine.

$ split -b 2000m gros_fichier
$ cat x* >gros_fichier

	Attention
	Assurez-vous ne pas pas avoir de nom de fichier commençant par « `x` » afin d’éviter des plantages de nom.

9.7.6. Effacer le contenu d’un fichier

Pour effacer le contenu d’un fichier comme, par exemple, un fichier journal, n’utilisez pas la commande rm(1) pour supprimer le fichier et recréer ensuite un fichier vide parce qu’on peut encore accéder au fichier dans l’intervalle entre les commandes. Voici la manière sûre d’effacer le contenu d’un fichier :

$ :>fichier_a_effacer

9.7.7. Fichiers fictifs

Les commandes suivantes créent des fichiers factices ou vides.

$ dd if=/dev/zero    of=5kb.file bs=1k count=5
$ dd if=/dev/urandom of=7mb.file bs=1M count=7
$ touch zero.file
$ : > alwayszero.file

Vous obtiendrez les fichiers suivants :

« 5kb.file » avec 5K de zéros ;
« 7mb.file » avec 7Mo de données aléatoires ;
« zero.file » devrait être un fichier de 0 octet. S’il existait, son mtime est mis à jour alors que son contenu et sa taille sont conservés ;
« alwayszero.file fait toujours 0 octet. S’il existait son mtime est mis à jour et son contenu vidé.

9.7.8. Effacer l’ensemble du disque dur

Il existe plusieurs manières d’effacer complètement les données d’un périphérique semblable à un disque dur, par exemple, une clé USB se trouvant en « /dev/sda ».

	Attention
	Vérifiez d’abord l’emplacement de votre clé USB avec mount(8) avant d’exécuter ces commandes. Le périphérique pointé par « `/dev/sda` » peut être le disque dur SCSI ou un disque dur SATA sur lequel se trouve l’ensemble de votre système.

Effacer tout le contenu du disque en réinitialisant toutes les données à 0 avec la commande suivante :

# dd if=/dev/zero of=/dev/sda

Tout effacer en écrasant les données existantes par des données aléatoires par la commande suivante :

# dd if=/dev/urandom of=/dev/sda

Effacer de manière très efficace toutes les données en les écrasant avec des données aléatoires par la commande suivante :

# shred -v -n 1 /dev/sda

Comme dd(1) est disponible depuis l’interpréteur de commandes de nombreux CD amorçables de Linux tels que le CD de l’installateur Debian, vous pouvez effacer complètement votre système installé en lançant la commande d’effacement du disque dur du système, par exemple, « /dev/hda », « /dev/sda », etc. depuis un tel support,

9.7.9. Effacer l’ensemble du disque dur

Une zone inutilisée du disque dur (ou d’une clé mémoire USB), par ex. « /devsdb1 » peut encore contenir les données effacées elles-mêmes puisqu’elles ne sont que déliées du système de fichiers. Elles peuvent être nettoyées en les surchargeant.

# mount -t auto /dev/sdb1 /mnt/foo
# cd /mnt/foo
# dd if=/dev/zero of=junk
dd: writing to `junk': No space left on device
...
# sync
# umount /dev/sdb1

	Avertissement
	C’est en général suffisamment bon pour votre clé mémoire USB. Mais ce n’est pas parfait. La plupart des noms des fichiers effacés et leurs attributs peuvent être cachés et rester dans le système de fichiers.

9.7.10. Récupérer des fichiers supprimés mais encore ouverts

Même si vous avez accidentellement supprimé un fichier, tant que ce fichier est en cours d’utilisation par une application quelconque, (en mode lecture ou écriture); il est possible de récupérer un tel fichier.

Essayez, par exemple, ce qui suit :

$ echo toto > titi
$ less titi
$ ps aux | grep ' less[ ]'
bozo    4775  0.0  0.0  92200   884 pts/8    S+   00:18   0:00 less titi
$ rm titi
$ ls -l /proc/4775/fd | grep titi
lr-x------ 1 bozo bozo 64 2008-05-09 00:19 4 -> /home/bozo/titi (deleted)
$ cat /proc/4775/fd/4 >titi
$ ls -l
-rw-r--r-- 1 bozo bozo 4 2008-05-09 00:25 titi
$ cat titir
toto

Exécutez sur un autre terminal (lorsque vous avez le paquet lsof installé) comme suit

$ ls -li titi
2228329 -rw-r--r-- 1 bozo bozo 4 2008-05-11 11:02 titi
$ lsof |grep titi|grep less
less 4775 bozo 4r REG 8,3 4 2228329 /home/bozo/titi
$ rm titi
$ lsof |grep titi|grep less
less 4775 bozo 4r REG 8,3 4 2228329 /home/bozo/titi (deleted)
$ cat /proc/4775/fd/4 >titi
$ ls -li titi
2228302 -rw-r--r-- 1 bozo bozo 4 2008-05-11 11:05 titi
$ cat titi
toto

9.7.11. Rechercher tous les liens physiques

Les fichiers ayant des liens physiques peuvent être identifiés par « ls -li ».

$ ls -li
total 0
2738405 -rw-r--r-- 1 root root 0 2008-09-15 20:21 titi
2738404 -rw-r--r-- 2 root root 0 2008-09-15 20:21 tutu
2738404 -rw-r--r-- 2 root root 0 2008-09-15 20:21 toto

« tutu » et « toto » ont tous les deux un nombre de liens égal à "« 2 » (>1), ce qui indique qu’ils ont des liens physiques. Leur numéro d’inœud commun est « 2738404 ». Cela signifie qu’ils représentent le même fichier lié par des liens physiques. Si vous n’arrivez pas à trouver de fichiers liés par des liens physiques, vous pouvez les rechercher parinœud, par exemple « 2738404 », de la manière suivante :

# find /chemin/vers/point/de/montage -xdev -inum 2738404

9.7.12. Consommation d’espace disque invisible

Tous les fichiers supprimés mais ouverts prennent de l’espace disque même s’ils ne sont pas visibles par la commande du(1) normale. On peut en afficher la liste avec leur taille par ce qui suit :

# lsof -s -X / |grep deleted

9.8. Astuces de chiffrement des données

Avec un accès physique à votre PC, n’importe qui peut facilement obtenir les privilèges de l’administrateur et accéder à tous les fichiers de votre PC (consultez Section 4.7.4, « sécuriser le mot de passe de l’administrateur »). Cela signifie qu’un système avec un mot de passe de connexion ne permet pas de sécuriser vos données personnelles ou sensibles en cas de vol de votre PC. Vous devez déployer des technologies de chiffrements des données pour assurer cette protection. Bien que GNU privacy guard (consultez Section 10.3, « Infrastructure de sécurité des données ») puisse chiffrer des fichiers, il demande quelques efforts de la part de l’utilisateur.

dm-crypt et eCryptfs facilitent de manière native le chiffrement automatique des données par l’intermédiaire de modules du noyau de Linux avec un minimum d’efforts de la part de l’utilisateur.

Tableau 9.25. Liste d’utilitaires de chiffrement des données

paquet	popcon	taille	description
`cryptsetup`	V:44, I:63	329	utilitaires pour chiffrer un périphérique en mode bloc (dm-crypt / LUKS)
`cryptmount`	V:2, I:4	347	utilitaires pour chiffrer un périphérique en mode bloc (dm-crypt / LUKS), l’accent étant mis sur le montage et le démontage par un utilisateur normal
`ecryptfs-utils`	V:5, I:7	343	utilitaires pour systèmes de fichiers empilés (« stackable ») chiffrés (eCryptfs)

Dm-crypt est un système de fichiers chiffré qui utilise device-mapper. Device-mapper effectue le « mapping » d’un périphérique en mode bloc sur un autre.

eCryptfs est un autre système de fichiers chiffré utilisant un système de fichiers empilé. Un système de fichiers empilé s’empile lui-même par dessus un répertoire existant d’un système de fichiers monté.

	Attention
	Le chiffrement des données a un coût en matière de temps processeur, etc. Veuillez comparer ses avantages à son coût.

	Note
	Le système Debian dans son ensemble peut être installé sur un disque chiffré par l’installateur debian (lenny ou plus récent) en utilisant dm-crypt/LUKS et initramfs.

	Astuce
	Consultez Section 10.3, « Infrastructure de sécurité des données » pour un utilitaire de chiffrement de l’espace utilisateur : GNU Privacy Guard.

9.8.1. Chiffrement des disques amovibles à l’aide de dm-crypt/LUKS

Vous pouvez chiffrer le contenu des périphériques de masse amovible, par exemple, une clé USB sur « /dev/sdx » en utilisant dm-crypt/LUKS. Il suffit de le formater de la manière suivante :

# badblocks -c 1024 -s -w -t random -v /dev/sdx
# fdisk /dev/sdx
... "n" "p" "1" "return" "return" "w"
# cryptsetup luksFormat /dev/sdx1
...
# cryptsetup luksOpen /dev/sdx1 sdx1
...
# ls -l /dev/mapper/
total 0
crw-rw---- 1 root root  10, 60 2008-10-04 18:44 control
brw-rw---- 1 root disk 254,  0 2008-10-04 23:55 sdx1
# mkfs.vfat /dev/mapper/sdx1
...
# cryptsetup luksClose sdx1

Il peut alors être monté simplement comme un périphérique normal sur « /media/<étiquette_disque> » à l’exception de la demande de mot de passe (consultez Section 10.1.7, « Périphériques d’enregistrement amovibles ») sous un environnement de bureau moderne tel que GNOME en utilisant gnome-mount(1). La différence est que toutes les données qui y seront écrites seront chiffrées. Vous pouvez aussi formater le support dans un format différent, par exemple ext4 avec « mkfs.ext4 /dev/sdx1 ».

	Note
	Si vous êtes vraiment paranoïaque en ce qui concerne la sécurité des données, vous pourrez réécrire par dessus plusieurs fois dans l’exemple ci-dessus. Cette opération est cependant très exigeante en temps.

9.8.2. Partition d’échange chiffrée avec dm-crypt

Supposons que votre « /etc/fstab » d’origine comporte ce qui suit :

/dev/sda7 swap sw 0 0

Vous pouvez chiffrer la partition d’échange en utilisant dm-crypt par ce qui suit :

# aptitude install cryptsetup
# swapoff -a
# echo "cswap /dev/sda7 /dev/urandom swap" >> /etc/crypttab
# perl -i -p -e "s/\/dev\/sda7/\/dev\/mapper\/cswap/" /etc/fstab
# /etc/init.d/cryptdisks restart
 ...
# swapon -a

9.8.3. Chiffrer les fichiers automatiquement avec eCryptfs

Vous pouvez chiffrer automatiquement les fichiers se trouvant sous « ~/Private/ » en utilisant eCryptfs et le paquet ecryptfs-utils.

Lancez ecryptfs-setup-private(1) et configurez « ~/Private/ » en suivant les invites.
Activez « ~/Private/ » en lançant ecryptfs-mount-private(1).
Déplacez les fichiers de données sensibles vers « ~/Private/ » et faites les liens symboliques à la demande.
- Candidats : « ~/.fetchmailrc », « ~/.ssh/identity », « ~/.ssh/id_rsa », « »~/.ssh/id_dsa » et d’autres fichiers ayant « go-rwx »
Déplacez les répertoires ayant des données sensibles vers un sous-répertoire de « ~/Private/ » et faites les liens symboliques nécessaires.
- Candidats : « ~/.gnupg » et d’autres répertoires avec « go-rwx »
Créez le lien symbolique de « ~/Desktop/Private/ » vers « ~/Private/ » pour faciliter les opérations du bureau.
Désactiver « ~/Private/ » en lançant ecryptfs-umount-private(1).
Activez « ~/Private/ » à l’aide de « ecryptfs-mount-private » lorsque vous avez besoin de vos données chiffrées.

Astuce

Comme eCryptfs ne chiffre que sélectivement les fichiers sensibles, son coût en matière de ressources système est bien moindre que l’utilisation de dm-crypt sur l’ensemble du système de fichiers racine ou sur le périphérique « /home ». Il ne demande aucun effort particulier sur l’allocation de l’espace disque mais ne peut conserver la confidentialité de toutes les métadonnées du système de fichiers.

9.8.4. Montage automatique de eCryptfs

Si vous utilisez votre mot de passe de connexion pour envelopper les clés de chiffrement, vous pouvez automatiser le montage de eCryptfs par PAM (Pluggable Authentication Modules).

Insérez la ligne suivante juste avant « pam_permit.so » dans « /etc/pam.d/common-auth » :

auth required pam_ecryptfs.so unwrap

Insérez la ligne suivante en tant que toute dernière ligne de « /etc/pam.d/common-session :

session optional pam_ecryptfs.so unwrap

Insérez la ligne suivante comme première ligne active de « /etc/pam.d/common-password :

password required pam_ecryptfs.so

C’est assez pratique.

	Avertissement
	Les erreurs de configuration de PAM peuvent vous interdire l’accès à votre propre système. Consultez Chapitre 4, Authentification.

Attention

Si vous utilisez votre mot de passe de connexion pour encapsuler les clés de chiffrement, vos données chiffrées sont aussi sûre que l’est votre mot de passe de connexion (consultez Section 4.3, « Mot de passe de qualité »). À moins que vous ne preniez le soin de définir un mot de passe fort, vos données encourent un risque lorsque quelqu’un lance un logiciel de casse de mots de passe après avoir volé votre ordinateur (consultez Section 4.7.4, « sécuriser le mot de passe de l’administrateur »).

9.9. Le noyau

Debian distribue des noyaux Linux modulaires sous forme de paquets pour les architectures prises en compte.

9.9.1. Noyau Linux 2.6/3.x

Les noyaux Linux 2.6/3.x possèdent quelques fonctionnalités remarquables comparés à 2.4.

Les périphériques sont créés par le système udev (consultez Section 3.3, « Le système udev »).
Les accès en lecture et écriture aux périphériques CD et DVD IDE CD/DVD n’utilisent plus le module ide-scsi.
Les fonctions de filtrage des paquets réseau utilisent les modules iptable du noyau.

Le saut de version de Linux passant de 2.6.39 à 3.0 n’est pas lié à des changements technologiques majeurs, mais à la célébration de son 20ème anniversaire.

9.9.2. Paramètres du noyau

De nombreuses fonctionnalités du noyau peuvent être configurées par l’intermédiaire de paramètres du noyau de la manière suivante :

Paramètres du noyau initialisés par le gestionnaire d’amorçage (consultez Section 3.1.2, « Étage 2 : le chargeur initial »)
Paramètres du noyau modifiés par sysctl(8) lors du fonctionnement du système pour ceux auxquels on a accès par l’intermédiaire de sysfs (consultez Section 1.2.12, « procfs et sysfs »)
Paramètres des modules définis par les paramètres de modprobe(8) lors de l’activation d’un module (consultez Section 9.6.3, « Monter le fichier image du disque »)

Consultez « kernel-parameters.txt(.gz) » et d’autres documents en rapport dans la documentation du noyau de Linux (« /usr/share/doc/linux-doc-3.*/Documentation/filesystems/* ») fournie par le paquet linux-doc-3.*.

9.9.3. En-têtes du noyau

La plupart des programmes normaux n’ont pas besoin des en-têtes du noyau et peuvent de fait être cassés si vous les utilisez directement pour la compilation. Ils devront être compilés avec les en-têtes se trouvant dans « /usr/include/linux » et « /usr/include/asm » qui sont fournis, sur les systèmes Debian, par le paquet libc6-dev (créé à partir du paquet source glibc).

Note

Pour compiler certains programmes spécifiques au noyau, comme les modules du noyau, à partir de sources externes et le démon de montage automatique (amd), vous devez inclure dans votre ligne de commandes un chemin vers les en-têtes du noyau correspondants, par exemple « -I/usr/src/linux-version-particulière/include/ ».module-assistant(8) (ou sa forme abrégée m-a) aide les utilisateurs à construire et à installer facilement des paquets de modules pour un ou plusieurs noyaux personnalisés.

9.9.4. Compiler le noyau et les modules associés

Debian a sa propre manière de compiler le noyau et les modules associés.

Tableau 9.26. Liste des paquets-clés à installer pour la compilation du noyau sur un système Debian

paquet	popcon	taille	description
`build-essential`	I:443	36	paquets essentiels pour la construction de paquets Debian : `make`, `gcc`, …
`bzip2`	V:420, I:874	119	utilitaires de compression et de décompression des fichiers bz2
`libncurses5-dev`	V:21, I:185	980	bibliothèques de développement et documentations pour ncurses
`git`	V:148, I:405	18779	git :: système distribué de contrôle de version utilisé par le noyau de Linux
`fakeroot`	V:48, I:505	343	fournit l’environnement fakeroot pour construire le paquet sans être administrateur (« root »)
`initramfs-tools`	V:250, I:988	326	outil pour construire une image mémoire initiale (« initramds ») (spécifique à Debian)
`dkms`	V:100, I:240	191	prise en charge dynamique des modules du noyau (dynamic kernel module support : DKMS) (générique)
`devscripts`	V:12, I:79	1733	scripts d’assistance pour un responsable de paquet Debian (spécifique à Debian)

Si vous utilisez un initrd dans Section 3.1.2, « Étage 2 : le chargeur initial », veuillez lire les informations correspondantes dans initramfs-tools(8), update-initramfs(8), mkinitramfs(8) et initramfs.conf(5).

	Avertissement
	Ne mettez pas de liens symboliques vers le répertoire de l’arborescence des source (par exemple « `/usr/src/linux*` ») depuis « `/usr/include/linux` » et « `/usr/include/asm` » lors de la compilation des sources du noyau de Linux. (Certains documents périmés le suggèrent).

	Note
	Lors de la compilation du dernier noyau de Linux sous un système Debian `stable`, l’utilisation des derniers outils rétroportés depuis la distribution Debian `unstable` peuvent être nécessaires.

Note

Le gestionnaire de modules dynamique du noyau (« dynamic kernel module support (DKMS) » est une nouvelle architecture indépendante de la distribution conçue pour permettre la mise à jour de modules individuels du noyau sans modifier l’ensemble du noyau. Cela sera approuvé pour la maintenance des modules externes à l’arborescence du noyau pour squeeze. Cela rend aussi très facile la reconstruction des modules après la mise à jour des noyaux.

9.9.5. Compiler les sources du noyau : recommandations de l’équipe en charge du noyau Debian

Pour construire des paquets binaires d’un noyau personnalisé à partir des sources du noyau amont, vous devriez utiliser la cible « deb-pkg » fournie pour cela.

$ sudo apt-get build-dep linux
$ cd /usr/src
$ wget http://www.kernel.org/pub/linux/kernel/v3.11/linux-<version>.tar.bz2
$ tar -xjvf linux-<version>.tar.bz2
$ cd linux-<version>
$ cp /boot/config-<version> .config
$ make menuconfig
 ...
$ make deb-pkg

	Astuce
	Le paquet linux-source-<version> fournit les sources du noyau Linux avec les correctifs Debian en tant que « `/usr/src/linux-<version>.tar.bz2` ».

Pour construire des paquets binaires particuliers à partir du paquet source Debian, vous devriez utiliser les cibles « binary-arch_<architecture>_<jeu_de_fonctionnalités>_<saveur> » dans « debian/rules.gen ».

$ sudo apt-get build-dep linux
$ apt-get source linux
$ cd linux-3.*
$ fakeroot make -f debian/rules.gen binary-arch_i386_none_686

Consultez les renseignements complémentaires :

wiki Debian : KernelFAQ ;
wiki Debian : DebianKernel ;
Manuel du noyau Linux Debian : http://kernel-handbook.alioth.debian.org.

9.9.6. Pilotes de matériel et microprogramme

Le pilote de matériel est le code s’exécutant sur le système cible. La plupart des pilotes de matériel sont maintenant disponibles sont forme de logiciels libres et font partie des paquets Debian du noyau dans la section main.

Pilote de processeur graphique
- Pilote Intel (main)
- Pilote AMD ou ATI (main)
- Pilote NVIDIA (main pour le pilote nouveau et non-free pour les pilotes binaires pris en charge par le constructeur)
Pilote de Softmodem
- Paquets martian-modem et sl-modem-dkms (non libres)

Le microprogramme est le code ou les données chargées sur le périphérique (par exemple le microcode de processeur, le code de rendu exécuté sur les processeurs graphiques, ou les données de FPGA ou de CPLD, etc.) Certains paquets de microprogramme sont disponibles sous forme de logiciel libre, mais beaucoup de paquets de microprogramme ne le sont pas car ils contiennent des données binaires sans source.

firmware-linux-free (main)
firmware-linux-nonfree (non libre)
firmware-linux-* (non libre)
*-firmware (non libre)
intel-microcode (non libre)
amd64-microcode (non libre)

Veuillez remarquer que les paquets de non-free et contrib ne font pas partie du système Debian. La configuration pour activer et désactiver les sections non-free et contrib est décrite en Section 2.1.4, « Bases concernant l’archive Debian ». Vous devriez être conscient des aspects négatifs associés à l’utilisation de paquets de non-free et contrib décrits dans Section 2.1.5, « Debian est totalement libre ».

9.10. Système virtualisé

L’utilisation d’un système virtualisé permet de faire tourner simultanément plusieurs instances du système sur une plateforme unique.

	Astuce
	Consultez http://wiki.debian.org/fr/SystemVirtualization .

9.10.1. Outils de virtualisation

Il a plusieurs paquets associés à la virtualisation et à l’émulation du système sous Debian au-delà d’un simple chroot. Certains paquets vous facilitent la mise en place d’un tel système.

Tableau 9.27. Liste des outils de virtualisation

paquet	popcon	taille	description
`schroot`	V:8, I:13	2430	outil spécialisé pour l’exécution d’un paquet binaire de Debian dans un chroot
`sbuild`	V:0, I:2	463	outil pour construire des paquets binaires de Debian depuis les sources Debian
`pbuilder`	V:3, I:22	996	constructeur personnel de paquets pour des paquets Debian
`debootstrap`	V:10, I:80	227	amorcer un système Debian de base (écrit en sh)
`cdebootstrap`	V:1, I:8	66	amorcer un système Debian (écrit en C)
`rootstrap`	V:0, I:1	97	outil pour construire des images d’un système de fichiers de Linux complet
`virt-manager`	V:7, I:24	6520	Gestionnaire de machine virtuelle : application du gestionnaire de bureau pour la gestion des machines virtuelles
`libvirt-bin`	V:34, I:52	10107	programmes pour la bibliothèque libvirt
`user-mode-linux`	V:0, I:2	28128	User-mode Linux (noyau)
`bochs`	V:0, I:1	2969	Bochs : émulateur PC IA-32
`qemu`	I:56	532	QEMU : émulateur de processeur générique rapide
`qemu-system`	V:34, I:58	73	QEMU : binaires pour l’émulation d’un système complet
`qemu-user`	V:5, I:56	40394	QEMU : binaires pour l’émulation en mode utilisateur
`qemu-utils`	V:10, I:91	2210	QEMU : utilitaires
`qemu-kvm`	V:38, I:63	75	KVM : virtualisation complète sur les plateformes x86 ayant une virtualisation assistée par le matériel
`virtualbox`	V:50, I:62	48227	VirtualBox : solution de virtualisation x86 sur i386 et amd64
`xen-tools`	V:1, I:11	618	outils pour gérer le serveur virtuel XEN de Debian
`wine`	V:8, I:116	80	Wine : implémentation de l’API Windows (suite standard)
`dosbox`	V:4, I:22	2526	DOSBox : émulateur x86 avec graphisme Tandy/Herc/CGA/EGA/VGA/SVGA, son et DOS
`dosemu`	V:1, I:7	4820	DOSEMU : l’émulateur DOS de Linux
`vzctl`	V:5, I:7	872	OpenVZ solution de virtualisation de serveur - outils de contrôle
`vzquota`	V:5, I:8	210	OpenVZ solution de virtualisation de serveur - outils de quota
`lxc`	V:2, I:8	648	Conteneurs Linux outils de l’espace utilisateur

Consultez l’article de Wikipedia Comparaison de machines pour plateforme virtuelle pour une comparaison détaillée entre les différentes solutions de plateformes de virtualisation.

9.10.2. Étapes de la virtualisation

	Note
	Certaines fonctionnalités décrites ici ne sont disponibles que dans `squeeze`.

	Note
	Les noyaux par défaut de Debian prennent en charge KVM depuis `lenny`.

La virtualisation met en œuvre plusieurs étapes :

Créer un système de fichiers vide (une arborescence de fichiers ou une image disque).
- L’arborescence de fichiers peut être créée par « mkdir -p /path/to/chroot ».
- L’image disque brute peut être créée à l’aide de dd(1) (consultez Section 9.6.1, « Créer le fichier image du disque » et Section 9.6.5, « Réaliser le fichier image d’un disque vide »).
- qemu-img(1) peut être utilisé pour créer et convertir des fichiers d’image disque pris en charge par QEMU.
- Les formats de fichier brut et VMDK peuvent être utilisés en tant que formats courants par les outils de virtualisation.
Monter l’image disque dans le système de fichiers avec mount(8) (optionnel).
- Pour l’image disque brute, le montage doit être fait avec un périphérique de rebouclage ou des périphériques device mapper (consultez Section 9.6.3, « Monter le fichier image du disque »).
- Les images disques prises en charge par QEMU seront montées en tant que périphériques réseau en mode bloc> (consultez Section 9.10.3, « Monter le fichier image du disque virtuel »).
Peupler le système de fichiers cible avec les données requises.
- L’utilisation de programmes tels que debootstrap et cdebootstrap facilitent ce processus (consultez Section 9.10.4, « Système protégé (chroot) »).
- Utiliser les installateurs des systèmes d’exploitation sous l’émulation du système complet.
Lancer un programme dans l’environnement virtualisé.
- chroot fournit un environnement virtualisé de base, suffisant pour y compiler des programmes, y faire tourner des applications en mode console et des démons.
- QEMU fournit une émulation de processeur interplateformes.
- QEMU avec KVM fournit une émulation système complète avec la virtualisation assistée par le matériel.
- VirtualBox fournit une émulation du système complet sur i386 amd64 avec ou sans la virtualisation assistée par le matériel.

9.10.3. Monter le fichier image du disque virtuel

Pour le fichier image disque brut, consultez Section 8.3, « Les paramètres linguistiques (« locale ») ».

Pour d’autres fichiers d’images disques virtuels, vous pouvez utiliser qemu-nbd(8) pour les exporter en utilisant le protocole network block device et en les montant à l’aide du module nbd du noyau.

qemu-nbd(8) gère les formats de disques pris en compte par QEMU : QEMU gère les formats de disques suivants raw, qcow2, qcow, vmdk, vdi, bochs, cow (mode utilisateur de Linux copy-on-write), parallels, dmg, cloop, vpc, vvfat (VFAT virtuelle) et host_device.

Le network block device peut gérer des partitions de la même manière que le périphérique de rebouclage (« loop device » (consultez Section 9.6.3, « Monter le fichier image du disque »). Vous pouvez monter la première partition de « disk.img » de la manière suivante :

# modprobe nbd max_part=16
# qemu-nbd -v -c /dev/nbd0 disk.img
...
# mkdir /mnt/part1
# mount /dev/nbd0p1 /mnt/part1

	Astuce
	Vous ne pouvez exporter que la première partition de « `disk.img` » en utilisant l’option « `-P 1` » de qemu-nbd(8).

9.10.4. Système protégé (chroot)

chroot(8) propose la plupart des moyens simples pour faire tourner simultanément plusieurs instances de l’environnement GNU/Linux sur un même système sans redémarrer.

	Attention
	Les exemple ci-dessous supposent que le système père et le système chroot partagent tous les deux la même architecture de processeur.

Vous pouvez apprendre comment configurer et utiliser chroot(8) en lançant le programme pbuilder(8) sous script(1) comme suit :

$ sudo mkdir /sid-root
$ sudo pbuilder --create --no-targz --debug --buildplace /sid-root

Vous pouvez voir comment debootstrap(8) ou cdebootstrap(1) installent les données du système pour l’environnement sid sous « /sid-root ».

	Astuce
	debootstrap(8) ou cdebootstrap(1) sont utilisés pour installer Debian avec l’installateur Debian. Ils peuvent aussi être utilisés pour installer Debian sur un système sans utiliser de disque d’installation de Debian, mais en provenance d’une autre distribution GNU/Linux.

$ sudo pbuilder --login --no-targz  --debug --buildplace /sid-root

Vous pouvez voir ci-après comment un shell système tournant sous l’environnement sid est créé :

Copier la configuration locale (« /etc/hosts », « /etc/hostname », « /etc/resolv.conf »)
Monter le système de fichiers « /proc »
Monter le système de fichiers « /dev/pts »
Créer « /usr/sbin/policy-rc.d » qui existe toujours avec 101
Lancer « chroot /sid-root bin/bash -c 'exec -a -bash bin/bash' »

	Note
	Certains programmes sous chroot peuvent demander l’accès à davantage de fichiers du système parent pour fonctionner que ceux que fournit `pbuilder`. Par exemple, on peut avoir besoin de monter liés (« bind-mount ») ou de copier « `/sys` », « `/etc/passwd` », « `/etc/group` », « `/var/run/utmp` », « `/var/log/wtmp` », etc.

	Note
	Le fichier « `/usr/sbin/policy-rc.d` » évite que des programmes démons ne soient démarrés automatiquement sur le système Debian. Consultez « `/usr/share/doc/sysv-rc/README.policy-rc.d.gz` ».

Astuce

Le but d’origine du paquet spécialisé d’environnement protégé (chroot) pbuilder est de construire une système protégé et de construire un paquet depuis cet environnement. C’est le système idéal à utiliser pour vérifier que les dépendances de construction d’un paquet sont correctes et pour s’assurer que les dépendances de construction erronées ou non nécessaires n’existent pas dans le paquet résultant.

	Astuce
	De même, le paquet `schroot` peut vous donner l’idée de faire tourner un système chroot `i386` sous le système parent `amd64`.

9.10.5. Systèmes de bureaux multiples

Je vous recommande d’utiliser QEMU ou VirtualBox sur un système Debian stable afin de faire tourner des systèmes de bureau multiples en utilisant la virtualisation. Cela vous permet de lancer des applications de bureau de Debian unstable et testing sans les risques qui leur sont habituellement associés.

Comme QEMU pur est très lent, il est recommandé de l’accélérer avec KVM lorsque le sysètme hôte le prend en charge.

L’image disque virtuelle « virtdisk.qcow2 » qui contient un système Debian pour QEMU peut être créée en utilisant un CD minimal de debian-installer de la manière suivante :

$ wget http://cdimage.debian.org/debian-cd/5.0.3/amd64/iso-cd/debian-503-amd64-netinst.iso
$ qemu-img create -f qcow2 virtdisk.qcow2 5G
$ qemu -hda virtdisk.qcow2 -cdrom debian-503-amd64-netinst.iso -boot d -m 256
...

Vous trouverez des astuces supplémentaires sur le wiki Debian : QEMU.

VirtualBox est fourni avec des outils ayant une interface graphique Qt et est assez intuitif. Son interface graphique et ses outils en ligne de commandes sont expliqués dans le Manuel de l’utilisateur de VirtualBox et le Manuel de l’utilisateur VirtualBox (PDF).

	Astuce
	Faire tourner d’autres distributions de GNU/Linux comme Ubuntu et Fedora sous une virtualisation est une bonne manière d’en étudier les astuces de configuration. D’autres systèmes d’exploitation propriétaires peuvent aussi tourner de manière agréable sous la virtualisation GNU/Linux.